此页面由 Cloud Translation API 翻译。

4.50.00.08 - Edge for Private Cloud 版本说明

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档。信息

2021 年 3 月 30 日，我们发布了适用于私有云的新版 Apigee Edge。

更新过程

更新此版本将更新以下 RPM 列表中的组件：

edge-gateway-4.50.00-0.0.20116.noarch.rpm
edge-management-server-4.50.00-0.0.20116.noarch.rpm
edge-message-processor-4.50.00-0.0.20116.noarch.rpm
edge-postgres-server-4.50.00-0.0.20116.noarch.rpm
edge-qpid-server-4.50.00-0.0.20116.noarch.rpm
edge-router-4.50.00-0.0.20116.noarch.rpm
edge-ui-4.50.00-0.0.20173.noarch.rpm

您可以通过输入以下命令检查当前已安装的 RPM 版本，查看它们是否需要更新：

apigee-all version

如需更新安装，请在 Edge 节点上执行以下步骤：

在所有 Edge 节点上：
1. 清理 Yum 代码库：
```
sudo yum clean all
```
2. 将最新的 Edge 4.50.00 bootstrap_4.50.00.sh 文件下载到 /tmp/bootstrap_4.50.00.sh：
```
curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
```
3. 安装 Edge 4.50.00 apigee-service 实用程序和依赖项：
```
sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord
```
  其中，uName:pWord 是您从 Apigee 收到的用户名和密码。如果省略 pWord，系统会提示您输入。
4. 更新 apigee-setup 实用程序：
```
sudo /opt/apigee/apigee-service/bin/apigee-service apigee-setup update
```
5. 使用 source 命令执行 apigee-service.sh 脚本：
```
source /etc/profile.d/apigee-service.sh
```
在所有 Edge 节点上，为 edge 进程执行 update.sh 脚本。为此，请在每个节点上执行以下命令：
```
/opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
```
对所有节点上的界面执行 update.sh 脚本。在每个节点上执行以下命令：
```
/opt/apigee/apigee-setup/bin/update.sh -c ui -f configFile
```

对支持的软件的更改

此版本中的受支持软件没有任何更改。

弃用和停用

此版本中没有新的弃用或停用功能。

新功能

此版本引入了以下新功能：

我们为消息处理器引入了一个新属性，您可以使用它来配置到后端服务器的转发代理： use.proxy.host.header.with.target.uri。该属性会将目标主机和端口设置为主机标头。

已修复 Bug

下表列出了此版本中修复的 bug：

问题 ID	说明
158132963	某些目标流变量在 504 事件中未填充到跟踪记录中。我们添加了改进功能，以便在目标超时时捕获跟踪记录和分析中的相关目标流变量。
141670890	关于设定系统级 TLS 设置的说明无效。修复了阻止 TLS 设置在消息处理器上生效的错误。
123311920	在管理服务器上启用 TLS 后，`update.sh` 脚本运行失败。现在，即使在管理服务器上启用了 TLS，更新脚本也能正常运行。
67168818	当 HTTP 代理与目标服务器搭配使用时，系统会显示代理服务器的 IP 地址，而不是实际目标的主机名或 IP 地址。我们新增了消息处理器属性（该属性可让您配置转发到后端服务器的转发代理），从而修复了此问题。

安全问题已解决

下面列出了此版本中已解决的已知安全问题。为避免这些问题，请安装最新版本的 Edge Private Cloud。

问题 ID	说明
CVE-2019-14379	使用 ehcache 时，2.9.9.2 之前的 FasterXML jackson-databind 中的 `SubTypeValidator.java` 错误地处理了默认输入（由于 `net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup`），从而导致远程执行代码。
CVE-2019-14540	在 2.9.10 之前的版本中，在 FasterXML jackson-databind 中发现了一个多态输入问题。它与 `com.zaxxer.hikari.HikariConfig` 相关。
CVE-2019-14892	在 2.9.10、2.8.11.5 和 2.6.7.3 之前的版本中，Jackson-databind 中发现了一个漏洞，该缺陷允许使用“commons-configuration 1”和“2”JNDI 类对恶意对象进行多态反序列化。攻击者可能会利用此缺陷执行任意代码。
CVE-2019-14893	在 2.9.10 和 2.10.0 之前的所有版本中的 FasterXML jackson-databind 中发现了一个缺陷：当与 `enableDefaultTyping()` 等多态类型处理方法（例如 `ObjectMapper.readValue`）或 `ObjectMapper.readValue` 可能会以不安全的方式使用 `Id.CLASS` 或 `Id.MINIMAL_CLASS` 等不安全的对象时，或以任何方式使用 xalan JNDI 小工具时，该漏洞允许使用 xalan JNDI 小工具对恶意对象进行多态反序列化。`@JsonTypeInfo`攻击者可能会利用此缺陷执行任意代码。
CVE-2019-16335	在 2.9.10 之前的版本中，在 FasterXML jackson-databind 中发现了一个多态输入问题。它与 `com.zaxxer.hikari.HikariDataSource` 相关。该漏洞与 CVE-2019-14540 不同。
CVE-2019-16942	在 FasterXML jackson-databind 2.0.0 至 2.9.10 中发现了一个多态输入问题。如果为外部公开的 JSON 端点启用了（全局或针对特定属性）“默认类型”功能，并且服务的类路径中包含 publics-dbcp (1.4) jar，并且攻击者可以找到要访问的 RMI 服务端点，则可能会导致该服务执行恶意载荷。出现此问题是因为 `org.apache.commons.dbcp.datasources.SharedPoolDataSource` 和 `org.apache.commons.dbcp.datasources.PerUserPoolDataSource` 处理不当。
CVE-2019-16943	在 FasterXML jackson-databind 2.0.0 至 2.9.10 中发现了一个多态输入问题。如果为外部公开的 JSON 端点启用了（全局或针对特定属性）默认类型设置，且服务的类路径中包含 p6spy (3.8.6) jar，并且攻击者可以找到要访问的 RMI 服务端点，则可能会导致该服务执行恶意载荷。出现此问题是因为 `com.p6spy.engine.spy.P6DataSource` 处理不当。
CVE-2019-17267	在 2.9.10 之前的版本中，在 FasterXML jackson-databind 中发现了一个多态输入问题。它与 `net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup` 相关。
CVE-2019-20330	2.9.10.2 之前的 FasterXML jackson-databind 2.x 缺少某些 `net.sf.ehcache` 阻塞。
CVE-2017-9801	在 Apache Commons 电子邮件 1.0 到 1.4 中，如果调用站点传递的电子邮件主题包含换行符，调用方可以添加任意 SMTP 标头。

已知问题

如需查看 Edge Private Cloud 的已知问题列表，请参阅 Edge Private Cloud 的已知问题。

4.50.00.09

4.50.00.07