4.50.00.08 - Edge for Private Cloud 版本資訊

您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件
資訊

我們在 2021 年 3 月 30 日發布了適用於私有雲的新版 Apigee Edge。

更新程序

更新這個版本後,系統會更新下列 RPM 清單中的元件:

  • edge-gateway-4.50.00-0.0.20116.noarch.rpm
  • edge-management-server-4.50.00-0.0.20116.noarch.rpm
  • edge-message-processor-4.50.00-0.0.20116.noarch.rpm
  • edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
  • edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
  • edge-router-4.50.00-0.0.20116.noarch.rpm
  • edge-ui-4.50.00-0.0.20173.noarch.rpm

如要查看目前安裝的 RPM 版本,請輸入以下內容:

apigee-all version

如要更新安裝,請在邊緣節點上執行以下程序:

  1. 在所有邊緣節點上:

    1. 清理 Yum 存放區:
      sudo yum clean all
    2. 將最新的 Edge 4.50.00 bootstrap_4.50.00.sh 檔案下載至 /tmp/bootstrap_4.50.00.sh
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. 安裝 Edge 4.50.00 apigee-service 公用程式和依附元件:
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      其中 uName:pWord 是您從 Apigee 收到的使用者名稱和密碼。 如果省略 pWord,系統會提示您輸入。

    4. 更新 apigee-setup 公用程式:
      sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
    5. 使用 source 指令執行 apigee-service.sh 指令碼:
      source /etc/profile.d/apigee-service.sh
  2. 在所有邊緣節點上,執行 edge 程序的 update.sh 指令碼。方法是在每個節點上執行下列指令:
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  3. 針對所有節點上的使用者介面執行 update.sh 指令碼。在每個節點上執行下列指令:
    /opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile

支援的軟體異動

此版本支援的軟體沒有任何變更。

淘汰與淘汰

這個版本沒有任何淘汰或淘汰項目。

新功能

這個版本包含下列新功能:

  • 我們推出了適用於訊息處理器的新屬性,可用於設定將 Proxy 轉送至後端伺服器: use.proxy.host.header.with.target.uri。屬性會將目標主機和通訊埠設為主機標頭。

修正錯誤

下表列出這個版本中已修正的錯誤:

問題 ID 說明
158132963

504 秒的追蹤記錄中並未填入部分目標流程變數。

我們已改善多項功能,以便在目標逾時時擷取追蹤記錄和數據分析中的相關目標流程變數。

141670890

說明如何設定系統層級的 TLS 設定。

我們修正了一項錯誤,避免 TLS 設定對訊息處理器生效。

123311920

在管理伺服器上啟用 TLS 後,update.sh 指令碼發生錯誤。

即使管理伺服器上已啟用 TLS,更新指令碼仍可正常運作。

67168818

將 HTTP Proxy 與目標伺服器搭配使用時,系統會顯示 Proxy 伺服器的 IP,而非實際目標的主機名稱或 IP。

我們新增了可讓您設定將 Proxy 轉送至後端伺服器的 Message Processor 屬性,修正這項問題。

安全性問題已修正

以下是在這個版本中已修正的已知安全性問題。 為避免發生這些問題,請安裝最新版本的 Edge Private Cloud。

問題 ID 說明
CVE-2019-14379

FastXML jackson-databind 中的 SubTypeValidator.java 會在使用 ehcache 時錯誤處理預設輸入 (因為使用 net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup),導致遠端程式碼執行。

CVE-2019-14540

我們在 2.9.10 以下版本的 FastXML jackson-databind 中發現了多型態輸入問題。與com.zaxxer.hikari.HikariConfig有關。

CVE-2019-14892

我們在 2.9.10、2.8.11.5 和 2.6.7.3 以下版本的 jackson-databind 中發現了瑕疵,該錯誤會允許使用 Commons-configuration 1 和 2 JNDI 類別將惡意物件的多型態去序列化。攻擊者可利用這個漏洞執行任何程式碼。

CVE-2019-14893

在 2.9.10 和 2.10.0 之前的所有版本中,我們發現在 FastXML jackson-databind 中發現了瑕疵,當使用者將 Xalan JNDI 小工具與 `enableDefaultTyping()` 等不安全的類型物件搭配使用,或者 @JsonTypeInfo 可能以不安全的方式處理 ObjectMapper.readValue`Id.MINIMAL_CLASS` 等其他即時物件時,就會允許使用 Xalan JNDI 小工具對惡意物件進行多型態去序列化。`Id.CLASS`攻擊者可利用這個漏洞執行任何程式碼。

CVE-2019-16335

我們在 2.9.10 以下版本的 FastXML jackson-databind 中發現了多型態輸入問題。與 com.zaxxer.hikari.HikariDataSource 相關。這是與 CVE-2019-14540 不同的安全漏洞。

CVE-2019-16942

我們在 FastXML jackson-databind 2.0.0 至 2.9.10 中發現了多型態輸入問題。針對外部公開的 JSON 端點或針對特定屬性啟用預設輸入功能時,如果服務的類別路徑中有 Commons-dbcp (1.4) jar,且攻擊者能找到 RMI 服務端點即可存取,便可讓服務執行惡意的酬載。這個問題之所以存在,是因為 org.apache.commons.dbcp.datasources.SharedPoolDataSourceorg.apache.commons.dbcp.datasources.PerUserPoolDataSource 處理失敗。

CVE-2019-16943

我們在 FastXML jackson-databind 2.0.0 至 2.9.10 中發現了多型態輸入問題。針對對外公開的 JSON 端點或針對特定屬性啟用預設輸入功能時,如果服務的類別路徑中有 p6spy (3.8.6) jar,且攻擊者可以找到 RMI 服務端點即可存取,便可讓服務執行惡意酬載。由於 com.p6spy.engine.spy.P6DataSource 處理不當,導致這個問題。

CVE-2019-17267

我們在 2.9.10 以下版本的 FastXML jackson-databind 中發現了多型態輸入問題。與 net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup 相關。

CVE-2019-20330

FastXML jackson-databind 2.x 2.9.10.2 之前缺少特定 net.sf.ehcache 封鎖功能。

CVE-2017-9801

當呼叫網站針對含有 Apache Commons Email 1.0 至 1.4 並以換行符號傳送的電子郵件主旨時,呼叫端可以新增任意 SMTP 標頭。

已知問題

如需 Edge Private Cloud 的已知問題清單,請參閱 Edge Private Cloud 的已知問題