4.50.00.08 – נתוני גרסה של Edge לענן פרטי

כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של Apigee X.
מידע

ב-30 במרץ 2021 השקנו גרסה חדשה של Apigee Edge לענן פרטי.

תהליך העדכון

עדכון הגרסה הזו יגרום לעדכון הרכיבים ברשימה הבאה של RPM:

  • edge-gateway-4.50.00-0.0.20116.noarch.rpm
  • edge-management-server-4.50.00-0.0.20116.noarch.rpm
  • edge-message-processor-4.50.00-0.0.20116.noarch.rpm
  • edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
  • edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
  • edge-router-4.50.00-0.0.20116.noarch.rpm
  • edge-ui-4.50.00-0.0.20173.noarch.rpm

כדי לבדוק את גרסאות ה-RPM שמותקנות כרגע, מזינים:

apigee-all version

כדי לעדכן את ההתקנה, מבצעים את הפעולות הבאות בצומתי Edge:

  1. בכל צומתי Edge:

    1. מנקים את המאגרים של Yum:
      sudo yum clean all
    2. מורידים את הקובץ bootstrap_4.50.00.sh Edge מגרסה 4.50.00 אל /tmp/bootstrap_4.50.00.sh:
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. מתקינים את תוכנת העזר ואת יחסי התלות של apigee-service Edge 4.50.00:
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      uName:pWord הם שם המשתמש והסיסמה שקיבלת מ-Apigee. אם לא מזינים את הערך pWord, צריך להזין אותו.

    4. מעדכנים את הכלי apigee-setup:
      sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
    5. משתמשים בפקודה source כדי להפעיל את הסקריפט apigee-service.sh:
      source /etc/profile.d/apigee-service.sh
  2. בכל צומתי Edge, צריך להפעיל את הסקריפט update.sh עבור התהליך edge. כדי לעשות את זה, מריצים את הפקודה הבאה בכל צומת:
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  3. מריצים את הסקריפט update.sh לממשק המשתמש בכל הצמתים. בכל צומת, מריצים את הפקודה הבאה:
    /opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile

שינויים בתוכנות הנתמכות

אין שינויים בתוכנות הנתמכות בגרסה הזו.

הוצאה משימוש ופרישה

אין הפסקות חדשות או הוצאת משימוש בגרסה הזו.

תכונות חדשות

הגרסה הזו כוללת את התכונה החדשה הבאה:

  • השקנו מאפיין חדש למעבד ההודעות שבו אפשר להשתמש כדי להגדיר שרת proxy להעברה לשרת קצה עורפי: use.proxy.host.header.with.target.uri. הנכס מגדיר את מארח היעד ואת היציאה ככותרת מארח.

הבאגים תוקנו

בטבלה הבאה מפורטים הבאגים שתוקנו בגרסה הזו:

מזהה הבעיה התיאור
158132963

חלק מהמשתנים של זרימת היעד לא אוכלסו במעקב עבור גרסאות 504.

הוספנו שיפורים כדי לתעד משתנים רלוונטיים של זרימת יעדים במעקב ובניתוח נתונים במקרה של זמנים קצובים לתפוגה של יעד.

141670890

ההוראות לקביעת הגדרות TLS ברמת המערכת לא פעלו.

תוקן באג שמנע מהגדרות TLS להיכנס לתוקף במעבדי הודעות.

123311920

סקריפט update.sh נכשל לאחר הפעלת TLS בשרת הניהול.

סקריפט העדכון פועל כעת כראוי גם אם TLS מופעל בשרת הניהול.

67168818

כשנעשה שימוש בשרת proxy מסוג HTTP בשילוב עם שרת יעד, כתובת ה-IP של שרת ה-proxy הוצגה במקום שם המארח או ה-IP של היעד בפועל.

הבעיה תוקנה בעקבות הוספה של מאפיין חדש של מעבד הודעות שמאפשר להגדיר שרת proxy להעברה לשרת קצה עורפי.

בעיות האבטחה תוקנו

בהמשך מופיעה רשימה של בעיות אבטחה ידועות שתוקנו בגרסה הזו. כדי למנוע בעיות כאלה, צריך להתקין את הגרסה האחרונה של הענן הפרטי של Edge.

מזהה הבעיה התיאור
CVE-2019-14379

SubTypeValidator.java ב-FasterXML jackson-databind לפני 2.9.9.2, מטפל באופן שגוי בהקלדה המוגדרת כברירת מחדל כאשר נעשה שימוש ב-ehcache (בגלל net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), שמוביל להפעלת קוד מרחוק.

CVE-2019-14540

התגלתה בעיה בהקלדה פולימורפית ב-FasterXML jackson-databind לפני 2.9.10. התוצאה קשורה לcom.zaxxer.hikari.HikariConfig.

CVE-2019-14892

התגלה פגם ב-jackson-databind בגרסאות לפני 2.9.10, 2.8.11.5 ו-2.6.7.3, שבהן התאפשר ביצוע deserialization פולימורפי של אובייקט זדוני באמצעות סיווגי JNDI 1 ו-2. תוקף עלול להשתמש בפגם הזה כדי להפעיל קוד שרירותי.

CVE-2019-14893

התגלה פגם ב-FasterXML jackson-databind בכל הגרסאות לפני 2.9.10 ו-2.10.0, שבו הוא אפשר לבצע ייבוש פולימורפי של אובייקטים זדוניים באמצעות גאדג'ט xalan JNDI כאשר משתמשים בו בשילוב עם שיטות טיפול מסוג פולימורפי, כמו `enableDefaultTyping()`, או כאשר @JsonTypeInfo משתמש בכל דרך לא בטוחה אחרת ש-`Id.CLASS` או `Id.MINIMAL_CLASS` או באמצעות ObjectMapper.readValue. תוקף עלול להשתמש בפגם הזה כדי להפעיל קוד שרירותי.

CVE-2019-16335

התגלתה בעיה בהקלדה פולימורפית ב-FasterXML jackson-databind לפני 2.9.10. התוצאה קשורה לcom.zaxxer.hikari.HikariDataSource. זוהי נקודת חולשה שונה מזו של CVE-2019-14540.

CVE-2019-16942

התגלתה בעיה בהקלדה פולימורפית ב-FasterXML jackson-databind 2.0.0 עד 2.9.10. כשאפשרות להקלדה בברירת מחדל מופעלת (באופן גלובלי או לנכס ספציפי) בנקודת קצה של JSON שנחשפה חיצונית, והשירות כולל את מאגר ה-Commons-dbcp (1.4) בנתיב המחלקה, ותוקף עלול למצוא את נקודת הקצה של שירות RMI כדי לגשת אליה, יש אפשרות לגרום לשירות להפעיל מטען ייעודי (payload) זדוני. הבעיה הזו קיימת בגלל טיפול לקוי ב-org.apache.commons.dbcp.datasources.SharedPoolDataSource וב-org.apache.commons.dbcp.datasources.PerUserPoolDataSource.

CVE-2019-16943

התגלתה בעיה בהקלדה פולימורפית ב-FasterXML jackson-databind 2.0.0 עד 2.9.10. כשמפעילים את פונקציית ברירת המחדל (באופן גלובלי או בנכס ספציפי) בנקודת קצה של JSON שנחשפה חיצונית, ובשירות יש את מאגר ה-p6spy (3.8.6) ב-classpath. בנוסף, תוקף עלול למצוא נקודת קצה של שירות RMI כדי לגשת אליה, יכול להיות שהשירות יפעיל מטען ייעודי (payload) זדוני. הבעיה הזו קיימת בגלל טיפול לקוי של com.p6spy.engine.spy.P6DataSource.

CVE-2019-17267

התגלתה בעיה בהקלדה פולימורפית ב-FasterXML jackson-databind לפני 2.9.10. התוצאה קשורה לnet.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup.

CVE-2019-20330

FasterXML jackson-databind 2.x לפני 2.9.10.2 חסר חסימה מסוימת של net.sf.ehcache.

CVE-2017-9801

כשאתר להתקשרות מעביר נושא של אימייל שמכיל מעברי שורה ב-Apache Commons Email 1.0 עד 1.4, מבצע הקריאה החוזרת יכול להוסיף כותרות SMTP שרירותיות.

בעיות ידועות

במאמר בעיות מוכרות בענן הפרטי של Edge תוכלו למצוא רשימה של בעיות ידועות בענן הפרטי של Edge.