หน้านี้ได้รับการแปลโดย Cloud Translation API

4.50.00.13 - Edge สำหรับบันทึกประจำรุ่นของ Private Cloud

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล

เราได้เปิดตัว Apigee Edge เวอร์ชันใหม่สำหรับ Private Cloud เมื่อวันที่ 13 มกราคม 2022 วัตถุประสงค์ของรุ่นนี้คือการแก้ไขปัญหาช่องโหว่ของ Apache Log4j2 โปรดดูหัวข้อ แก้ไขปัญหาด้านความปลอดภัยแล้ว

ข้อควรทราบเกี่ยวกับช่องโหว่ของ Apache Log4j

Edge สำหรับการกำหนดค่าเริ่มต้นของ Private Cloud มี Log4j 2 แต่ไม่มีช่องโหว่ต่อ Log4j 2 (CVE-2021-44228)

ในทำนองเดียวกัน Edge สำหรับ Private Cloud จะไม่ได้รับผลกระทบจากช่องโหว่ที่เกี่ยวข้องใน Apache Log4j-1.x ซึ่งมาพร้อมกับ ZooKeeper ช่องโหว่ดังกล่าวต้องมีการกำหนดค่าเฉพาะของ Log4j-1.x ที่ Edge สำหรับ Private Cloud ไม่ได้จัดส่งเป็นการกำหนดค่าเริ่มต้น ดังนั้นช่องโหว่ดังกล่าวจึงแสวงหาประโยชน์ใน Edge สำหรับ Private Cloud ไม่ได้

ขั้นตอนการอัปเดต

การอัปเดตรุ่นนี้จะอัปเดตคอมโพเนนต์ในรายการ RPM ต่อไปนี้

edge-gateway-4.50.00-0.0.20150.noarch.rpm
edge-management-server-4.50.00-0.0.20150.noarch.rpm
edge-message-processor-4.50.00-0.0.20150.noarch.rpm
edge-postgres-server-4.50.00-0.0.20150.noarch.rpm
edge-qpid-server-4.50.00-0.0.20150.noarch.rpm
edge-router-4.50.00-0.0.20150.noarch.rpm
edge-analytics-4.50.00-0.0.40053.noarch.rpm
apigee-machinekey-1.1.2-0.0.20017.noarch.rpm

คุณตรวจสอบเวอร์ชัน RPM ที่ติดตั้งอยู่ในปัจจุบันได้เพื่อดูว่าต้องอัปเดตหรือไม่โดยป้อนข้อมูลต่อไปนี้

apigee-all version

หากต้องการอัปเดตการติดตั้ง ให้ทำตามขั้นตอนต่อไปนี้กับโหนด Edge

ในโหนด Edge ทั้งหมด
1. ทำความสะอาดที่เก็บ Yum:
```
sudo yum clean all
```
2. ดาวน์โหลดไฟล์ Edge 4.50.00 bootstrap_4.50.00.sh ล่าสุดไปยัง /tmp/bootstrap_4.50.00.sh:
```
curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
```
3. ติดตั้งยูทิลิตีและทรัพยากร Dependency ของ apigee-service Edge 4.50.00:
```
sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord
```
  โดย uName:pWord คือชื่อผู้ใช้และรหัสผ่านที่คุณได้รับจาก Apigee หากคุณไม่ใส่ pWord คุณจะได้รับข้อความแจ้งให้ป้อนข้อมูล
4. ใช้คำสั่ง source เพื่อเรียกใช้สคริปต์ apigee-service.sh:
```
source /etc/profile.d/apigee-service.sh
```

อัปเดตยูทิลิตี apigee-machinekey:

/opt/apigee/apigee-service/bin/apigee-service apigee-machinekey update

บนโหนด Edge ทั้งหมด ให้เรียกใช้สคริปต์ update.sh สำหรับการประมวลผล Edge:
```
/opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
```
หากคุณใช้ Apigee mTLS อยู่โปรดทำตามขั้นตอนที่อธิบายไว้ในอัปเกรด Apigee mTLS ดูข้อมูลเพิ่มเติมได้ที่ข้อมูลเบื้องต้นเกี่ยวกับ Apigee mTLS

แก้ไขปัญหาด้านความปลอดภัยแล้ว

ปัญหาด้านความปลอดภัยต่อไปนี้ได้รับการแก้ไขแล้วในรุ่นนี้

รหัสปัญหา	คำอธิบาย
CVE-2021-44228	ฟีเจอร์ Apache Log4j2 2.0-beta9 ถึง 2.15.0 (ยกเว้นรุ่นความปลอดภัย 2.12.2, 2.12.3 และ 2.3.1) ฟีเจอร์ JNDI ที่ใช้ในการกำหนดค่า ข้อความบันทึก และพารามิเตอร์ไม่ป้องกัน LDAP ที่ควบคุมโดยผู้โจมตีและปลายทางที่เกี่ยวข้องกับ JNDI อื่นๆ ผู้โจมตีที่ควบคุมข้อความบันทึกหรือพารามิเตอร์ของข้อความในบันทึกสามารถใช้โค้ดที่กำหนดเองที่โหลดจากเซิร์ฟเวอร์ LDAP เมื่อเปิดใช้การใช้แทนการค้นหาข้อความ ลักษณะการทำงานนี้ปิดใช้โดยค่าเริ่มต้นตั้งแต่ log4j 2.15.0 ตั้งแต่เวอร์ชัน 2.16.0 (รวมถึงเวอร์ชัน 2.12.2, 2.12.3 และ 2.3.1) ได้มีการนำฟังก์ชันนี้ออกไปโดยสิ้นเชิง โปรดทราบว่าช่องโหว่นี้ใช้เฉพาะกับ log4j-core และไม่ส่งผลกระทบต่อ log4net, log4cxx หรือโปรเจ็กต์ Apache Logging Services อื่นๆ ปัญหานี้ได้รับการแก้ไขแล้ว โปรดดูหัวข้อแก้ไขข้อบกพร่อง

รหัสปัญหา

คำอธิบาย

CVE-2021-44228

ฟีเจอร์ Apache Log4j2 2.0-beta9 ถึง 2.15.0 (ยกเว้นรุ่นความปลอดภัย 2.12.2, 2.12.3 และ 2.3.1) ฟีเจอร์ JNDI ที่ใช้ในการกำหนดค่า ข้อความบันทึก และพารามิเตอร์ไม่ป้องกัน LDAP ที่ควบคุมโดยผู้โจมตีและปลายทางที่เกี่ยวข้องกับ JNDI อื่นๆ ผู้โจมตีที่ควบคุมข้อความบันทึกหรือพารามิเตอร์ของข้อความในบันทึกสามารถใช้โค้ดที่กำหนดเองที่โหลดจากเซิร์ฟเวอร์ LDAP เมื่อเปิดใช้การใช้แทนการค้นหาข้อความ ลักษณะการทำงานนี้ปิดใช้โดยค่าเริ่มต้นตั้งแต่ log4j 2.15.0 ตั้งแต่เวอร์ชัน 2.16.0 (รวมถึงเวอร์ชัน 2.12.2, 2.12.3 และ 2.3.1) ได้มีการนำฟังก์ชันนี้ออกไปโดยสิ้นเชิง โปรดทราบว่าช่องโหว่นี้ใช้เฉพาะกับ log4j-core และไม่ส่งผลกระทบต่อ log4net, log4cxx หรือโปรเจ็กต์ Apache Logging Services อื่นๆ

ปัญหานี้ได้รับการแก้ไขแล้ว โปรดดูหัวข้อแก้ไขข้อบกพร่อง

การเปลี่ยนแปลงที่เกิดขึ้นกับ ซอฟต์แวร์ที่รองรับ

ซอฟต์แวร์ที่รองรับในรุ่นนี้จะไม่มีการเปลี่ยนแปลง

การเลิกใช้และการเกษียณอายุ

และจะไม่มีการเลิกใช้งานหรือการเลิกใช้ใหม่ในรุ่นนี้

ฟีเจอร์ใหม่

ไม่มีฟีเจอร์ใหม่ในรุ่นนี้

แก้ไขข้อบกพร่อง

ส่วนนี้จะแสดงข้อบกพร่องของ Private Cloud ที่ได้รับการแก้ไขในรุ่นนี้

รหัสปัญหา	คำอธิบาย
211001890	ไลบรารี Apache Log4j ที่มาพร้อมกับไลบรารีบุคคลที่สามของคอมโพเนนต์เกตเวย์ได้รับการอัปเดตเป็นเวอร์ชัน 2.17.0 แล้ว

ปัญหาที่ทราบ

โปรดดูรายการปัญหาที่ทราบทั้งหมดในหัวข้อปัญหาที่ทราบเกี่ยวกับ Edge สำหรับ Private Cloud