דף זה תורגם על ידי Cloud Translation API.

4.50.00.13 – נתוני גרסה של Edge לענן פרטי

מוצג המסמך של Apigee Edge.
עוברים אל מסמכי תיעוד של Apigee X. מידע

ב-13 בינואר 2022 השקנו גרסה חדשה של Apigee Edge לענן פרטי. המטרה של הגרסה הזו היא לטפל Apache בעיה בפגיעוּת ב-Log4j2. ראו בעיות האבטחה תוקנו.

תהליך העדכון

עדכון הגרסה הזו יעדכן את הרכיבים ברשימה הבאה של הכנסות לאלף חשיפות:

edge-gateway-4.50.00-0.0.20150.noarch.rpm
edge-management-server-4.50.00-0.0.20150.noarch.rpm
edge-message-processor-4.50.00-0.0.20150.noarch.rpm
edge-postgres-server-4.50.00-0.0.20150.noarch.rpm
edge-qpid-server-4.50.00-0.0.20150.noarch.rpm
edge-router-4.50.00-0.0.20150.noarch.rpm
edge-analytics-4.50.00-0.0.40053.noarch.rpm
apigee-machinekey-1.1.2-0.0.20017.noarch.rpm

אתם יכולים לבדוק את הגרסאות של ההכנסה לאלף צפיות (RPM) שהתקנתם כרגע כדי לראות אם הן נדרש עדכון, על ידי הזנת:

apigee-all version

כדי לעדכן את ההתקנה, מבצעים את התהליך הבא בצמתים של Edge:

בכל הצמתים של Edge:
1. מנקים את המאגרים של Yum:
```
sudo yum clean all
```
2. מורידים את קובץ Edge 4.50.00 bootstrap_4.50.00.sh העדכני ביותר אל /tmp/bootstrap_4.50.00.sh:
```
curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
```
3. מתקינים את כלי השירות apigee-service של Edge 4.50.00 ואת יחסי התלות:
```
sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord
```
  כאשר uName:pWord הם שם המשתמש והסיסמה שקיבלתם מ-Apigee. אם תשמיטו את pWord, תתבקשו להזין אותו.
4. משתמשים בפקודה source כדי להפעיל את הסקריפט apigee-service.sh:
```
source /etc/profile.d/apigee-service.sh
```

מעדכנים את כלי השירות apigee-machinekey:

/opt/apigee/apigee-service/bin/apigee-service apigee-machinekey update

בכל הצמתים של Edge, מריצים את הסקריפט update.sh עבור תהליך הקצה:
```
/opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
```
אם משתמשים ב-Apigee mTLS, צריך לבצע את התהליך שמתואר ב שדרוג של Apigee mTLS. למידע נוסף, ראו מבוא ל-Apigee mTLS.

בעיות האבטחה תוקנו

בעיית האבטחה הבאה תוקנה בגרסה הזו.

מזהה הבעיה	תיאור
CVE-2021-44228	Apache Log4j2 2.0-beta9 עד 2.15.0 (לא כולל גרסאות אבטחה 2.12.2, 2.12.3, ו-2.3.1) תכונות JNDI שמשמשות להגדרה, להודעות יומן ולפרמטרים. הגנה מפני LDAP שנשלט על ידי תוקף ונקודות קצה אחרות שקשורות ל-JNDI. תוקף מי שיכול לשלוט בהודעות ביומן או בפרמטרים של הודעות ביומן יכולים להריץ קוד שרירותי שנטען משרתי LDAP כשמופעלת החלפה של חיפוש הודעות. החל מ-log4j 2.15.0, הושבתה כברירת מחדל. מגרסה 2.16.0 (יחד עם 2.12.2, 2.12.3, ו-2.3.1), הפונקציונליות הזו הוסרה לחלוטין. חשוב לשים לב שנקודת החולשה הזו הוא ספציפי ל-log4j-core ולא משפיע על Log4net, log4cxx או אחר Apache Logging פרויקטים של שירותים. כבר פתרנו את הבעיה הזו. אפשר לקרוא על תיקוני באגים.

מזהה הבעיה

תיאור

CVE-2021-44228

Apache Log4j2 2.0-beta9 עד 2.15.0 (לא כולל גרסאות אבטחה 2.12.2, 2.12.3, ו-2.3.1) תכונות JNDI שמשמשות להגדרה, להודעות יומן ולפרמטרים. הגנה מפני LDAP שנשלט על ידי תוקף ונקודות קצה אחרות שקשורות ל-JNDI. תוקף מי שיכול לשלוט בהודעות ביומן או בפרמטרים של הודעות ביומן יכולים להריץ קוד שרירותי שנטען משרתי LDAP כשמופעלת החלפה של חיפוש הודעות. החל מ-log4j 2.15.0, הושבתה כברירת מחדל. מגרסה 2.16.0 (יחד עם 2.12.2, 2.12.3, ו-2.3.1), הפונקציונליות הזו הוסרה לחלוטין. חשוב לשים לב שנקודת החולשה הזו הוא ספציפי ל-log4j-core ולא משפיע על Log4net, log4cxx או אחר Apache Logging פרויקטים של שירותים.

כבר פתרנו את הבעיה הזו. אפשר לקרוא על תיקוני באגים.

שינויים ב- תוכנה נתמכת

אין שינויים בתוכנות הנתמכות בגרסה הזו.

הוצאה משימוש ופרישה משימוש

אין הוצאה משימוש או פרישה חדשה בגרסה הזו.

תכונות חדשות

אין תכונות חדשות בגרסה הזו.

תיקוני באגים

בקטע הזה מפורטים הבאגים בענן הפרטי שתוקנו בגרסה הזו.

מזהה הבעיה	תיאור
211001890	ספריית Apache Log4j נשלחה עם רכיבי Gateway ספריות של צד שלישי עודכנו לגרסה 2.17.0

בעיות מוכרות

בעיות מוכרות ב-Edge for Private Cloud כדי לראות רשימה מלאה של הבעיות הידועות.