4.50.00.08 - Edge for Private Cloud 출시 노트

Apigee Edge 문서를 보고 있습니다.
Apigee X 문서를 확인하세요.

2021년 3월 30일에 프라이빗 클라우드용 Apigee Edge의 새 버전이 출시되었습니다.

업데이트 절차

이 출시 버전을 업데이트하면 다음 RPM 목록의 구성요소가 업데이트됩니다.

  • 에지-게이트웨이-4.50.00-0.0.20116.noarch.rpm
  • Edge-management-server-4.50.00-0.0.20116.noarch.rpm
  • Edge-message-processor-4.50.00-0.0.20116.noarch.rpm
  • Edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
  • Edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
  • Edge-router-4.50.00-0.0.20116.noarch.rpm
  • Edge-ui-4.50.00-0.0.20173.noarch.rpm

다음을 입력하여 현재 설치된 RPM 버전을 확인하고 업데이트가 필요한지 확인할 수 있습니다.

apigee-all version

설치를 업데이트하려면 Edge 노드에서 다음 절차를 수행합니다.

  1. 모든 Edge 노드에서:

    1. Yum 저장소를 정리합니다.
      sudo yum clean all
    2. 최신 Edge 4.50.00 bootstrap_4.50.00.sh 파일을 /tmp/bootstrap_4.50.00.sh에 다운로드합니다.
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. Edge 4.50.00 apigee-service 유틸리티 및 종속 항목을 설치합니다.
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      여기서 uName:pWord는 Apigee에서 수신한 사용자 이름과 비밀번호입니다. pWord을 생략하면 입력하라는 메시지가 표시됩니다.

    4. apigee-setup 유틸리티를 업데이트합니다.
      sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
    5. source 명령어를 사용하여 apigee-service.sh 스크립트를 실행합니다.
      source /etc/profile.d/apigee-service.sh
  2. 모든 Edge 노드에서 edge 프로세스의 update.sh 스크립트를 실행합니다. 이렇게 하려면 각 노드에서 다음 명령어를 실행합니다.
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  3. 모든 노드에서 UI의 update.sh 스크립트를 실행합니다. 각 노드에서
    /opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile
    명령어를 실행합니다.

지원되는 소프트웨어 변경사항

이번 출시에서 지원되는 소프트웨어는 변경되지 않습니다.

지원 중단 및 중단

이번 출시에는 새로운 지원 중단 또는 지원 중단이 없습니다.

새로운 기능

이 출시 버전에는 다음과 같은 새로운 기능이 도입되었습니다.

  • 백엔드 서버로 전달 프록시를 구성하는 데 사용할 수 있는 메시지 프로세서의 새 속성 use.proxy.host.header.with.target.uri을 도입했습니다. 이 속성은 대상 호스트와 포트를 호스트 헤더로 설정합니다.

수정된 버그

다음 표에는 이번 출시에서 수정된 버그가 나열되어 있습니다.

문제 ID 설명
158132963

일부 대상 흐름 변수가 trace에 504 동안 채워지지 않았습니다.

목표 시간 초과 시 트레이스 및 분석에서 관련 대상 흐름 변수를 캡처하도록 개선사항이 추가되었습니다.

141670890

시스템 수준 TLS 설정을 위한 안내가 작동하지 않았습니다.

메시지 프로세서에 TLS 설정이 적용되지 못하게 하는 버그가 수정되었습니다.

123311920

관리 서버에서 TLS를 사용 설정한 후 update.sh 스크립트가 실패했습니다.

이제 관리 서버에서 TLS가 사용 설정되어 있어도 업데이트 스크립트가 올바르게 작동합니다.

67168818

대상 서버와 함께 HTTP 프록시를 사용하면 실제 대상의 호스트 이름 또는 IP 대신 프록시 서버의 IP가 표시되었습니다.

이 문제는 백엔드 서버로 전달 프록시를 구성할 수 있는 새로운 메시지 프로세서 속성을 추가하여 수정되었습니다.

보안 문제 해결됨

다음은 이번 출시에서 해결된 알려진 보안 문제 목록입니다. 이러한 문제를 방지하려면 Edge Private Cloud의 최신 버전을 설치하세요.

문제 ID 설명
CVE-2019-14379

2.9.9.2 이전의 FastXML jackson-databind의 SubTypeValidator.javanet.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup로 인해 ehcache가 사용될 때 기본 입력을 잘못 처리하여 원격 코드가 실행됩니다.

CVE-2019-14540

2.9.10 이전 버전의 FastXML jackson-databind에서 다형성 입력 문제가 발견되었습니다. com.zaxxer.hikari.HikariConfig와 관련이 있습니다.

CVE-2019-14892

2.9.10, 2.8.11.5, 2.6.7.3 이전 버전의 jackson-databind에서 결함이 발견되었으며, 여기서 Common-configuration 1 및 2 JNDI 클래스를 사용하여 악성 객체의 다형성 역직렬화를 허용합니다. 공격자는 이 결함을 사용하여 임의의 코드를 실행할 수 있습니다.

CVE-2019-14893

2.9.10 및 2.10.0 이전의 모든 버전에서 FastXML jackson-databind에 결함이 발견되었습니다. 여기서 xalan JNDI 가젯이 다형성 유형 처리 메서드와 함께 사용될 때 또는 @JsonTypeInfo`Id.CLASS` 또는 `Id.MINIMAL_CLASS`를 다른 방식으로 사용할 수 있거나 다른 소스에서 안전하지 않은 객체를 사용할 수 있는 경우 xalan JNDI 가젯을 사용하여 악성 객체의 다형성 역직렬화를 허용합니다.`enableDefaultTyping()`ObjectMapper.readValue 공격자는 이 결함을 사용하여 임의의 코드를 실행할 수 있습니다.

CVE-2019-16335

2.9.10 이전 버전의 FastXML jackson-databind에서 다형성 입력 문제가 발견되었습니다. com.zaxxer.hikari.HikariDataSource와 관련이 있습니다. 이 취약점은 CVE-2019-14540과 다릅니다.

CVE-2019-16942

FastXML jackson-databind 2.0.0~2.9.10에서 다형성 입력 문제가 발견되었습니다. 외부에 노출된 JSON 엔드포인트에 기본 입력 (전역적 또는 특정 속성)이 사용 설정되어 있고 서비스의 클래스 경로에 Commons-dbcp (1.4) jar이 있고 공격자가 액세스할 RMI 서비스 엔드포인트를 찾을 수 있는 경우, 서비스가 악의적인 페이로드를 실행하도록 할 수 있습니다. 이 문제는 org.apache.commons.dbcp.datasources.SharedPoolDataSourceorg.apache.commons.dbcp.datasources.PerUserPoolDataSource의 잘못된 처리로 인해 발생합니다.

CVE-2019-16943

FastXML jackson-databind 2.0.0~2.9.10에서 다형성 입력 문제가 발견되었습니다. 외부에 노출된 JSON 엔드포인트에 기본 입력 (전역 또는 특정 속성)이 사용 설정되어 있고 서비스의 클래스 경로에 p6spy (3.8.6) jar이 있고 공격자가 액세스할 RMI 서비스 엔드포인트를 찾을 수 있는 경우, 서비스가 악의적인 페이로드를 실행하도록 할 수 있습니다. 이 문제는 com.p6spy.engine.spy.P6DataSource에서 잘못 처리되어 발생합니다.

CVE-2019-17267

2.9.10 이전 버전의 FastXML jackson-databind에서 다형성 입력 문제가 발견되었습니다. net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup와 관련이 있습니다.

CVE-2019-20330

2.9.10.2 이전의 FastXML jackson-databind 2.x는 특정 net.sf.ehcache 차단이 없습니다.

CVE-2017-9801

호출 사이트가 Apache Commons 이메일 1.0~1.4에서 줄바꿈이 포함된 이메일 제목을 전달할 때 호출자는 임의의 SMTP 헤더를 추가할 수 있습니다.

알려진 문제

Edge Private Cloud의 알려진 문제 목록은 Edge Private Cloud의 알려진 문제를 참조하세요.