इस पेज का अनुवाद Cloud Translation API से किया गया है.

4.50.00.13 - निजी क्लाउड के लिए Edge की जानकारी

Apigee Edge दस्तावेज़ देखा जा रहा है.
Apigee X दस्तावेज़ पर जाएं. जानकारी

हमने 13 जनवरी, 2022 को Private Cloud के लिए, Apigee Edge का नया वर्शन रिलीज़ किया है. इस रिलीज़ का मकसद Apache Log4j2 जोखिम की आशंका की समस्या को हल करना है. सुरक्षा से जुड़ी समस्याएं ठीक की गई देखें.

Apache Log4j से जुड़े जोखिम की आशंका के बारे में अहम जानकारी:

निजी क्लाउड के डिफ़ॉल्ट कॉन्फ़िगरेशन के लिए, Edge में Log4j 2 है, लेकिन Log4j 2 (CVE-2021-44228) का जोखिम नहीं है.

इसी तरह, Apache Log4j-1.x से जुड़े जोखिम की आशंका का कोई असर Apache Log4j-1.x के साथ काम न करने वाले प्राइवेट क्लाउड के लिए भी एज पर नहीं पड़ता. इसे छोटा-मोटापे की मदद से शिप किया जाता है. इस जोखिम की वजह से, Log4j-1.x के एक खास कॉन्फ़िगरेशन की ज़रूरत होती है, जिसे Edge for Private Cloud डिफ़ॉल्ट कॉन्फ़िगरेशन के तौर पर शिप नहीं किया जाता. इसलिए, Edge for Private Cloud में इस जोखिम का फ़ायदा नहीं उठाया जा सकता.

अपडेट करने की प्रोसेस

इस रिलीज़ को अपडेट करने से, आरपीएम की इस सूची में शामिल कॉम्पोनेंट अपडेट हो जाएंगे:

edge-gateway-4.50.00-0.0.20150.noarch.rpm
edge-management-server-4.50.00-0.0.20150.noarch.rpm
edge-message-processor-4.50.00-0.0.20150.noarch.rpm
edge-postgres-server-4.50.00-0.0.20150.noarch.rpm
edge-qpid-server-4.50.00-0.0.20150.noarch.rpm
edge-router-4.50.00-0.0.20150.noarch.rpm
edge-analytics-4.50.00-0.0.40053.noarch.rpm
apigee-machinekey-1.1.2-0.0.20017.noarch.rpm

आपके पास फ़िलहाल इंस्टॉल किए गए आरपीएम के वर्शन देखने का विकल्प होता है. इसके लिए, नीचे दिया गया तरीका अपनाएं:

apigee-all version

इंस्टॉल करने की प्रक्रिया को अपडेट करने के लिए, एज नोड पर यह तरीका अपनाएं:

सभी Edge नोड पर:
1. यम के संग्रह को साफ़ करें:
```
sudo yum clean all
```
2. /tmp/bootstrap_4.50.00.sh में सबसे नई Edge 4.50.00 bootstrap_4.50.00.sh फ़ाइल डाउनलोड करें:
```
curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
```
3. Edge 4.50.00 apigee-service यूटिलिटी और डिपेंडेंसी इंस्टॉल करें:
```
sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord
```
  जहां uName:pWord, Apigee से मिला उपयोगकर्ता नाम और पासवर्ड है. pWord को छोड़ने पर, आपको इसे डालने के लिए कहा जाएगा.
4. apigee-service.sh स्क्रिप्ट को चलाने के लिए, source कमांड का इस्तेमाल करें:
```
source /etc/profile.d/apigee-service.sh
```
apigee-machinekey सुविधा को अपडेट करें:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-machinekey update
```
सभी Edge नोड पर, किनारे की प्रोसेस के लिए update.sh स्क्रिप्ट चलाएं:
```
/opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
```
अगर Apigee mTLS का इस्तेमाल किया जा रहा है, तो Apigee mTLS को अपग्रेड करने में बताया गया तरीका अपनाएं. ज़्यादा जानकारी के लिए, Apigee mTLS के बारे में जानकारी देखें.

सुरक्षा से जुड़ी समस्याएं ठीक की गईं

इस रिलीज़ में, सुरक्षा से जुड़ी इस समस्या को ठीक कर दिया गया है.

समस्या आईडी	ब्यौरा
CVE-2021-44228	Apache Log4j2 2.0-beta9 से 2.15.0 (सिक्योरिटी रिलीज़ 2.12.2, 2.12.3, और 2.3.1 को छोड़कर) कॉन्फ़िगरेशन, लॉग मैसेज, और पैरामीटर में इस्तेमाल की जाने वाली JNDI की सुविधाएं, हमलावर के कंट्रोल वाले LDAP और JNDI से जुड़े अन्य एंडपॉइंट से सुरक्षित नहीं रखती हैं. लॉग मैसेज या लॉग मैसेज पैरामीटर को कंट्रोल करने वाला कोई हमलावर, मैसेज लुकअप विकल्प चालू होने पर LDAP सर्वर से लोड किए गए आर्बिट्रेरी कोड को एक्ज़ीक्यूट कर सकता है. Log4j 2.15.0 से, यह सुविधा डिफ़ॉल्ट रूप से बंद कर दी गई है. वर्शन 2.16.0 (2.12.2, 2.12.3, और 2.3.1 के साथ) से, इस सुविधा को पूरी तरह से हटा दिया गया है. ध्यान दें कि यह जोखिम सिर्फ़ Log4j-core के लिए है और Log4net, Log4cxx या अन्य Apache Loging Services से जुड़े प्रोजेक्ट पर कोई असर नहीं पड़ता. इस समस्या को हल कर दिया गया है. गड़बड़ियां ठीक करना देखें.

समस्या आईडी

ब्यौरा

CVE-2021-44228

Apache Log4j2 2.0-beta9 से 2.15.0 (सिक्योरिटी रिलीज़ 2.12.2, 2.12.3, और 2.3.1 को छोड़कर) कॉन्फ़िगरेशन, लॉग मैसेज, और पैरामीटर में इस्तेमाल की जाने वाली JNDI की सुविधाएं, हमलावर के कंट्रोल वाले LDAP और JNDI से जुड़े अन्य एंडपॉइंट से सुरक्षित नहीं रखती हैं. लॉग मैसेज या लॉग मैसेज पैरामीटर को कंट्रोल करने वाला कोई हमलावर, मैसेज लुकअप विकल्प चालू होने पर LDAP सर्वर से लोड किए गए आर्बिट्रेरी कोड को एक्ज़ीक्यूट कर सकता है. Log4j 2.15.0 से, यह सुविधा डिफ़ॉल्ट रूप से बंद कर दी गई है. वर्शन 2.16.0 (2.12.2, 2.12.3, और 2.3.1 के साथ) से, इस सुविधा को पूरी तरह से हटा दिया गया है. ध्यान दें कि यह जोखिम सिर्फ़ Log4j-core के लिए है और Log4net, Log4cxx या अन्य Apache Loging Services से जुड़े प्रोजेक्ट पर कोई असर नहीं पड़ता.

इस समस्या को हल कर दिया गया है. गड़बड़ियां ठीक करना देखें.

काम करने वाले सॉफ़्टवेयर में बदलाव

इस रिलीज़ में, इस्तेमाल किए जा सकने वाले सॉफ़्टवेयर में कोई बदलाव नहीं किया गया है.

सेवानिवृत्ति और मृत्यु

इस रिलीज़ में कोई भी नई सुविधा बंद नहीं हुई है या रिटायरमेंट नहीं दिया गया है.

नई सुविधाएं

इस रिलीज़ में कोई भी नई सुविधा नहीं है.

बग समाधान

इस सेक्शन में, प्राइवेट क्लाउड की उन गड़बड़ियों की सूची दी गई है जिन्हें इस रिलीज़ में ठीक किया गया था.

समस्या आईडी	ब्यौरा
211001890	गेटवे कॉम्पोनेंट की तीसरे पक्ष की लाइब्रेरी के साथ शिप की गई Apache Log4j लाइब्रेरी को 2.17.0 वर्शन पर अपडेट कर दिया गया है

आम तौर पर होने वाली समस्याएं

जिन समस्याओं के बारे में हमें पता है उनकी पूरी सूची देखने के लिए, प्राइवेट क्लाउड के लिए Edge से जुड़ी सामान्य समस्याएं देखें.