4.50.00.08 – Ghi chú phát hành Edge for Private Cloud

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X.
thông tin

Vào ngày 30 tháng 3 năm 2021, chúng tôi đã phát hành một phiên bản mới của Apigee Edge dành cho đám mây riêng tư.

Quy trình cập nhật

Khi bạn cập nhật bản phát hành này, các thành phần trong danh sách RPM sau đây sẽ được cập nhật:

  • edge-gateway-4.50.00-0.0.20116.noarch.rpm
  • edge-management-server-4.50.00-0.0.20116.noarch.rpm
  • edge-message-processor-4.50.00-0.0.20116.noarch.rpm
  • edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
  • edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
  • edge-router-4.50.00-0.0.20116.noarch.rpm
  • edge-ui-4.50.00-0.0.20173.noarch.rpm

Bạn có thể kiểm tra phiên bản RPM mình đã cài đặt để xem có cần cập nhật hay không bằng cách nhập:

apigee-all version

Để cập nhật bản cài đặt, hãy thực hiện quy trình sau trên các nút Edge:

  1. Trên tất cả các nút Edge:

    1. Dọn dẹp kho lưu trữ Yum:
      sudo yum clean all
    2. Tải tệp bootstrap_4.50.00.sh Edge 4.50.00 mới nhất xuống /tmp/bootstrap_4.50.00.sh:
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. Cài đặt tiện ích và phần phụ thuộc apigee-service của Edge 4.50.00:
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      trong đó uName:pWord là tên người dùng và mật khẩu mà bạn nhận được từ Apigee. Nếu bỏ qua pWord, bạn sẽ được nhắc nhập mã này.

    4. Cập nhật tiện ích apigee-setup:
      sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
    5. Dùng lệnh source để thực thi tập lệnh apigee-service.sh:
      source /etc/profile.d/apigee-service.sh
  2. Trên tất cả các nút Edge, hãy thực thi tập lệnh update.sh cho quy trình edge. Để thực hiện việc này, hãy thực thi lệnh sau trên mỗi nút:
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  3. Thực thi tập lệnh update.sh cho giao diện người dùng trên tất cả các nút. Trên mỗi nút, hãy thực thi lệnh sau:
    /opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile

Các thay đổi đối với phần mềm được hỗ trợ

Không có thay đổi nào đối với phần mềm được hỗ trợ trong bản phát hành này.

Ngừng sử dụng và ngừng hoạt động

Bản phát hành này không có ngừng sử dụng hoặc ngừng sử dụng mới.

Tính năng mới

Bản phát hành này giới thiệu tính năng mới sau đây:

  • Chúng tôi đã giới thiệu một thuộc tính mới cho Trình xử lý thông báo. Bạn có thể dùng thuộc tính này để định cấu hình proxy chuyển tiếp tới máy chủ phụ trợ: use.proxy.host.header.with.target.uri. Tài sản đặt máy chủ đích và cổng làm tiêu đề Máy chủ.

Đã sửa lỗi

Bảng sau đây liệt kê các lỗi đã được khắc phục trong bản phát hành này:

ID vấn đề Nội dung mô tả
158132963

Một số biến luồng mục tiêu không được điền vào dấu vết của các lỗi 504.

Chúng tôi đã bổ sung các điểm cải tiến để thu thập các biến luồng mục tiêu có liên quan trong quá trình theo dõi và phân tích trong trường hợp hết thời gian chờ mục tiêu.

141670890

Hướng dẫn thiết lập chế độ cài đặt TLS ở cấp hệ thống không hoạt động.

Khắc phục được một lỗi khiến chế độ cài đặt TLS không hoạt động trên trình xử lý thư.

123311920

Tập lệnh update.sh không hoạt động được sau khi bật TLS trên máy chủ quản lý.

Tập lệnh cập nhật hiện hoạt động chính xác ngay cả khi TLS được bật trên máy chủ quản lý.

67168818

Khi một Proxy HTTP được sử dụng cùng với Máy chủ mục tiêu, IP của máy chủ proxy sẽ hiển thị thay vì tên máy chủ hoặc IP của mục tiêu thực tế.

Chúng tôi đã khắc phục vấn đề này bằng cách bổ sung một thuộc tính mới của Trình xử lý thông báo cho phép bạn định cấu hình proxy chuyển tiếp đến một máy chủ phụ trợ.

Đã khắc phục các vấn đề bảo mật

Dưới đây là danh sách các vấn đề bảo mật đã biết và đã được khắc phục trong bản phát hành này. Để tránh những vấn đề này, hãy cài đặt phiên bản mới nhất của Edge Private Cloud.

ID vấn đề Nội dung mô tả
CVE-2019-14379

SubTypeValidator.java trong QuickXML jackson-databind trước phiên bản 2.9.9.2 xử lý sai thao tác nhập mặc định khi sử dụng ehcache (do net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), dẫn đến việc thực thi mã từ xa.

CVE-2019-14540

Phát hiện vấn đề về tính năng Nhập đa hình trong lấy và dữ liệu (Safebind) trước phiên bản 2.9.10. Kết quả này liên quan đến com.zaxxer.hikari.HikariConfig.

CVE-2019-14892

Một lỗ hổng được phát hiện trong jackson-databind trong các phiên bản trước 2.9.10, 2.8.11.5 và 2.6.7.3, cho phép huỷ chuyển đổi tuần tự đa hình của một đối tượng độc hại bằng cách sử dụng các lớp JNDI cấu hình chung 1 và 2. Kẻ tấn công có thể sử dụng lỗ hổng này để thực thi mã tuỳ ý.

CVE-2019-14893

Một lỗ hổng bảo mật đã được phát hiện trong QuickXML jackson-databind trong mọi phiên bản trước phiên bản 2.9.10 và 2.10.0, cho phép huỷ chuyển đổi tuần tự đa hình của các đối tượng độc hại bằng tiện ích xalan JNDI khi được dùng kết hợp với các phương thức xử lý loại đa hình như `enableDefaultTyping()` hoặc khi @JsonTypeInfo đang sử dụng `Id.CLASS` hay `Id.MINIMAL_CLASS` hoặc theo bất kỳ cách nào khác mà từ ObjectMapper.readValue có thể tạo thực thể của đối tượng. Kẻ tấn công có thể sử dụng lỗi này để thực thi mã tuỳ ý.

CVE-2019-16335

Phát hiện vấn đề về tính năng Nhập đa hình trong lấy và dữ liệu (Safebind) trước phiên bản 2.9.10. Kết quả này liên quan đến com.zaxxer.hikari.HikariDataSource. Đây là một lỗ hổng khác với CVE-2019-14540.

CVE-2019-16942

Phát hiện một vấn đề về tính năng Nhập đa hình trong phiên bản SaferXML jackson-databind 2.0.0 đến 2.9.10. Khi tính năng Nhập mặc định được bật (trên toàn cầu hoặc cho một thuộc tính cụ thể) cho một điểm cuối JSON hiển thị bên ngoài, đồng thời dịch vụ có khoảng commons-dbcp (1.4) trong classpath, kẻ tấn công có thể tìm thấy điểm cuối của dịch vụ RMI để truy cập, điều này có thể khiến dịch vụ thực thi tải trọng độc hại. Vấn đề này tồn tại do cách org.apache.commons.dbcp.datasources.SharedPoolDataSourceorg.apache.commons.dbcp.datasources.PerUserPoolDataSource xử lý sai mục đích.

CVE-2019-16943

Phát hiện một vấn đề về tính năng Nhập đa hình trong phiên bản SaferXML jackson-databind 2.0.0 đến 2.9.10. Khi tính năng Nhập mặc định được bật (trên toàn cục hoặc cho một thuộc tính cụ thể) cho điểm cuối JSON hiển thị bên ngoài và dịch vụ có tệp p6spy (3.8.6) trong classpath, kẻ tấn công có thể tìm thấy điểm cuối của dịch vụ RMI để truy cập, điều này có thể khiến dịch vụ thực thi tải trọng độc hại. Vấn đề này tồn tại do cách com.p6spy.engine.spy.P6DataSource xử lý sai.

CVE-2019-17267

Phát hiện vấn đề về tính năng Nhập đa hình trong lấy và dữ liệu (Safebind) trước phiên bản 2.9.10. Hồ sơ này liên quan đến net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup.

CVE-2019-20330

SafeXML jackson-databind 2.x trước 2.9.10.2 thiếu một số tính năng chặn net.sf.ehcache.

CVE-2017-9801

Khi một trang web gọi điện truyền một tiêu đề cho một email có chứa dấu ngắt dòng trong Apache Commons Email 1.0 đến 1.4, phương thức gọi có thể thêm các tiêu đề SMTP tuỳ ý.

Vấn đề đã biết

Để xem danh sách các vấn đề đã biết với Đám mây riêng tư của Edge, hãy xem phần Các vấn đề đã biết với Đám mây riêng tư Edge.