4.50.00.08 - Note di rilascio di Edge per Private Cloud

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X.
informazioni

Il 30 marzo 2021 abbiamo rilasciato una nuova versione di Apigee Edge per il cloud privato.

Procedura di aggiornamento

L'aggiornamento di questa release comporterà l'aggiornamento dei componenti nel seguente elenco di RPM:

  • edge-gateway-4.50.00-0.0.20116.noarch.rpm
  • edge-management-server-4.50.00-0.0.20116.noarch.rpm
  • edge-message-processor-4.50.00-0.0.20116.noarch.rpm
  • edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
  • edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
  • edge-router-4.50.00-0.0.20116.noarch.rpm
  • edge-ui-4.50.00-0.0.20173.noarch.rpm

Per controllare le versioni RPM attualmente installate e verificare se devono essere aggiornate, inserisci:

apigee-all version

Per aggiornare l'installazione, esegui la procedura seguente sui nodi perimetrali:

  1. Su tutti i nodi perimetrali:

    1. Pulisci il repository Yum:
      sudo yum clean all
    2. Scarica il file bootstrap_4.50.00.sh di Edge 4.50.00 più recente su /tmp/bootstrap_4.50.00.sh:
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. Installa l'utilità e le dipendenze apigee-service Edge 4.50.00:
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      dove uName:pWord sono il nome utente e la password ricevuti da Apigee. Se ometti pWord, ti verrà chiesto di inserirlo.

    4. Aggiorna l'utilità apigee-setup:
      sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
    5. Utilizza il comando source per eseguire lo script apigee-service.sh:
      source /etc/profile.d/apigee-service.sh
  2. Su tutti i nodi perimetrali, esegui lo script update.sh per il processo edge. Per farlo, esegui questo comando su ciascun nodo:
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  3. Esegui lo script update.sh per l'interfaccia utente su tutti i nodi. Su ciascun nodo, esegui questo comando:
    /opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile

Modifiche al software supportato

Non sono state apportate modifiche al software supportato in questa release.

Ritiri e ritiri

In questa release non sono presenti nuovi ritiri o ritiri.

Nuove funzionalità

Questa release introduce la seguente nuova funzionalità:

  • Abbiamo introdotto una nuova proprietà per il processore di messaggi che puoi utilizzare per configurare il proxy di inoltro a un server di backend: use.proxy.host.header.with.target.uri. La proprietà imposta l'host e la porta di destinazione come intestazione dell'host.

Bug corretti

Nella tabella seguente sono elencati i bug corretti in questa release:

ID problema Descrizione
158132963

Alcune variabili di flusso target non venivano compilate nella traccia per 504.

Abbiamo aggiunto miglioramenti per acquisire variabili di flusso di destinazione pertinenti in traccia e analisi in caso di timeout target.

141670890

Le istruzioni per impostare le impostazioni TLS a livello di sistema non funzionavano.

È stato corretto un bug che impediva l'applicazione delle impostazioni TLS sui processori di messaggi.

123311920

Lo script update.sh non è riuscito dopo aver abilitato TLS sul server di gestione.

Ora lo script di aggiornamento funziona correttamente anche se TLS è abilitato sul server di gestione.

67168818

Quando un proxy HTTP è stato utilizzato insieme a un server di destinazione, veniva visualizzato l'IP del server proxy anziché il nome host o l'IP della destinazione effettiva.

Questo problema è stato risolto con l'aggiunta di una nuova proprietà Message Processor, che consente di configurare il proxy di inoltro a un server di backend.

Problemi di sicurezza risolti

Di seguito è riportato un elenco di problemi di sicurezza noti risolti in questa release. Per evitare questi problemi, installa la versione più recente di Edge Private Cloud.

ID problema Descrizione
CVE-2019-14379

SubTypeValidator.java in FasterXML jackson-databind prima della 2.9.9.2 gestisce in modo errato la digitazione predefinita quando viene utilizzato ehcache (a causa di net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), portando all'esecuzione di codice remoto.

CVE-2019-14540

È stato rilevato un problema di digitazione polimorfica in jackson-databind FasterXML prima della versione 2.9.10. È correlato a com.zaxxer.hikari.HikariConfig.

CVE-2019-14892

È stato scoperto un difetto in jackson-databind nelle versioni precedenti alla 2.9.10, 2.8.11.5 e 2.6.7.3, in cui consentiva la deserializzazione polimorfica di un oggetto dannoso utilizzando le classi JNDI della configurazione comune 1 e 2. Un utente malintenzionato potrebbe utilizzare questa falla per eseguire codice arbitrario.

CVE-2019-14893

È stato rilevato un difetto in jackson-databind FasterXML in tutte le versioni precedenti alla 2.9.10 e alla 2.10.0, che consentiva la deserializzazione polimorfica di oggetti dannosi utilizzando il gadget Xalan JNDI quando utilizzato insieme a metodi di gestione di tipo polimorfico come `enableDefaultTyping()` o quando @JsonTypeInfo utilizza origini `Id.CLASS` o `Id.MINIMAL_CLASS` o in qualsiasi altro modo.ObjectMapper.readValue Un utente malintenzionato potrebbe utilizzare questa falla per eseguire codice arbitrario.

CVE-2019-16335

È stato rilevato un problema di digitazione polimorfica in jackson-databind FasterXML prima della versione 2.9.10. È correlato a com.zaxxer.hikari.HikariDataSource. Si tratta di una vulnerabilità diversa rispetto a CVE-2019-14540.

CVE-2019-16942

È stato rilevato un problema di digitazione polimorfica in FasterXML jackson-databind dalla versione 2.0.0 alla versione 2.9.10. Quando la funzionalità Digitazione predefinita è abilitata (a livello globale o per una proprietà specifica) per un endpoint JSON esposto all'esterno e il servizio ha il jar commons-dbcp (1.4) nel classpath e un utente malintenzionato può trovare un endpoint di servizio RMI a cui accedere, è possibile far eseguire al servizio un payload dannoso. Questo problema si verifica a causa di un maltrattamento di org.apache.commons.dbcp.datasources.SharedPoolDataSource e di org.apache.commons.dbcp.datasources.PerUserPoolDataSource.

CVE-2019-16943

È stato rilevato un problema di digitazione polimorfica in FasterXML jackson-databind dalla versione 2.0.0 alla versione 2.9.10. Quando la funzionalità Digitazione predefinita è abilitata (a livello globale o per una proprietà specifica) per un endpoint JSON esposto all'esterno e il servizio ha il jar p6spy (3.8.6) nel classpath e un utente malintenzionato può trovare un endpoint di servizio RMI a cui accedere, è possibile far eseguire al servizio un payload dannoso. Questo problema si verifica a causa di com.p6spy.engine.spy.P6DataSource maltrattamenti.

CVE-2019-17267

È stato rilevato un problema di digitazione polimorfica in jackson-databind FasterXML prima della versione 2.9.10. È correlato a net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup.

CVE-2019-20330

La versione FasterXML di jackson-databind 2.x prima della versione 2.9.10.2 non dispone di un determinato blocco net.sf.ehcache.

CVE-2017-9801

Quando un sito di chiamata trasmette l'oggetto di un'email contenente interruzioni di riga nell'email Apache Commons Email dalla 1.0 alla 1.4, il chiamante può aggiungere intestazioni SMTP arbitrarie.

Problemi noti

Per un elenco dei problemi noti di Edge Private Cloud, consulta Problemi noti di Edge Private Cloud.