4.50.00.08 - Notas da versão do Edge para nuvem privada

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X.
informações

Em 30 de março de 2021, lançamos uma nova versão do Apigee Edge para nuvem privada.

Procedimento de atualização

A atualização desta versão atualizará os componentes na seguinte lista de RPMs:

  • edge-gateway-4.50.00-0.0.20116.noarch.rpm
  • edge-management-server-4.50.00-0.0.20116.noarch.rpm
  • edge-message-processor-4.50.00-0.0.20116.noarch.rpm
  • edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
  • edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
  • edge-router-4.50.00-0.0.20116.noarch.rpm
  • edge-ui-4.50.00-0.0.20173.noarch.rpm

É possível verificar as versões de RPM instaladas atualmente e conferir se elas precisam ser atualizadas. Para isso, digite:

apigee-all version

Para atualizar a instalação, execute o seguinte procedimento nos nós de borda:

  1. Em todos os nós de borda:

    1. Limpe o repositório do Yum:
      sudo yum clean all
    2. Faça o download do arquivo bootstrap_4.50.00.sh mais recente do Edge 4.50.00 para /tmp/bootstrap_4.50.00.sh:
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. Instale o utilitário apigee-service e as dependências do Edge 4.50.00:
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      em que uName:pWord é o nome de usuário e a senha que você recebeu da Apigee. Se você omitir o campo pWord, será necessário inseri-lo.

    4. Atualize o utilitário apigee-setup:
      sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
    5. Use o comando source para executar o script apigee-service.sh:
      source /etc/profile.d/apigee-service.sh
  2. Em todos os nós de borda, execute o script update.sh para o processo edge. Para fazer isso, execute o seguinte comando em cada nó:
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  3. Execute o script update.sh para a IU em todos os nós. Em cada nó, execute o seguinte comando:
    /opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile

Mudanças no software com suporte

Não há mudanças no software com suporte nesta versão.

Descontinuações e descontinuações

Não há novas descontinuações ou desativações nesta versão.

Novos recursos

Nesta versão, apresentamos o novo recurso a seguir:

  • Apresentamos uma nova propriedade do processador de mensagens que pode ser usada para configurar o proxy de encaminhamento para um servidor de back-end: use.proxy.host.header.with.target.uri. A propriedade define o host e a porta de destino como um cabeçalho "Host".

Bugs corrigidos

A tabela a seguir lista os bugs corrigidos nesta versão:

Id do problema Descrição
158132963

Algumas variáveis de fluxo de destino não estavam sendo preenchidas no rastro nos 504s.

Adicionamos melhorias para capturar variáveis relevantes do fluxo de destino no trace e na análise em caso de tempo limite do destino.

141670890

As instruções para definir as configurações de TLS do sistema não estavam funcionando.

Corrigimos um bug que impedia que as configurações de TLS entrassem em vigor nos processadores de mensagens.

123311920

O script update.sh falhava após ativar o TLS no servidor de gerenciamento.

O script de atualização agora funciona corretamente, mesmo que o TLS esteja ativado no servidor de gerenciamento.

67168818

Quando um proxy HTTP era usado com um servidor de destino, o IP do servidor proxy era exibido em vez do nome do host ou IP do destino real.

Isso foi corrigido com a adição de uma nova propriedade do processador de mensagens, que permite configurar o proxy de encaminhamento para um servidor de back-end.

Problemas de segurança corrigidos

Veja a seguir uma lista de problemas de segurança conhecidos que foram corrigidos nesta versão. Para evitar esses problemas, instale a versão mais recente da nuvem privada do Edge.

Id do problema Descrição
CVE-2019-14379

SubTypeValidator.java no RapidXML jackson-databind antes da versão 2.9.9.2 processam incorretamente a digitação padrão quando o ehcache é usado (por causa de net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), levando à execução remota do código.

CVE-2019-14540

Um problema de digitação polimórfica foi descoberto no método FastXML jackson-databind antes da versão 2.9.10. Ela está relacionada ao com.zaxxer.hikari.HikariConfig.

CVE-2019-14892

Foi descoberta uma falha no jackson-databind nas versões anteriores às 2.9.10, 2.8.11.5 e 2.6.7.3, em que permitiria a desserialização polimórfica de um objeto malicioso usando as classes JNDI de configuração comum 1 e 2. Um invasor pode usar essa falha para executar um código arbitrário.

CVE-2019-14893

Foi descoberta uma falha no FasterXML jackson-databind em todas as versões anteriores às 2.9.10 e 2.10.0, em que permitiria a desserialização polimórfica de objetos maliciosos usando o gadget JNDI xalan quando usado em conjunto com métodos de processamento do tipo polimórfico, como `enableDefaultTyping()`, ou quando @JsonTypeInfo estiver usando `Id.CLASS` ou `Id.MINIMAL_CLASS` ou de qualquer outra forma que instanciasse objetos não seguros.ObjectMapper.readValue Um invasor pode usar essa falha para executar um código arbitrário.

CVE-2019-16335

Um problema de digitação polimórfica foi descoberto no método FastXML jackson-databind antes da versão 2.9.10. Ela está relacionada ao com.zaxxer.hikari.HikariDataSource. Essa é uma vulnerabilidade diferente da CVE-2019-14540.

CVE-2019-16942

Um problema de digitação polimórfica foi descoberto no RapidXML jackson-databind 2.0.0 a 2.9.10. Quando a digitação padrão está ativada (globalmente ou para uma propriedade específica) para um endpoint JSON exposto externamente e o serviço tem o jar commons-dbcp (1.4) no caminho de classe, e um invasor consegue encontrar um endpoint de serviço RMI para acessar, é possível fazer com que o serviço execute um payload malicioso. Esse problema existe devido ao processamento incorreto de org.apache.commons.dbcp.datasources.SharedPoolDataSource e org.apache.commons.dbcp.datasources.PerUserPoolDataSource.

CVE-2019-16943

Um problema de digitação polimórfica foi descoberto no RapidXML jackson-databind 2.0.0 a 2.9.10. Quando a digitação padrão está ativada (globalmente ou para uma propriedade específica) para um endpoint JSON exposto externamente e o serviço tem o jar p6spy (3.8.6) no caminho de classe, e um invasor consegue encontrar um endpoint de serviço RMI para acessar, é possível fazer com que o serviço execute um payload malicioso. Esse problema ocorre devido ao processamento incorreto de com.p6spy.engine.spy.P6DataSource.

CVE-2019-17267

Um problema de digitação polimórfica foi descoberto no método FastXML jackson-databind antes da versão 2.9.10. Ela está relacionada ao net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup.

CVE-2019-20330

O SwiftXML jackson-databind 2.x anterior à versão 2.9.10.2 não tem certos bloqueios de net.sf.ehcache.

CVE-2017-9801

Quando um site de chamadas passa o assunto de um e-mail com quebras de linha no e-mail Apache Commons 1.0 a 1.4, o autor da chamada pode adicionar cabeçalhos SMTP arbitrários.

Problemas conhecidos

Confira uma lista de problemas conhecidos com a nuvem privada do Edge em Problemas conhecidos com a nuvem privada do Edge.