4.50.00.13 – Ghi chú phát hành Edge for Private Cloud

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X.
thông tin

Vào ngày 13 tháng 1 năm 2022, chúng tôi đã phát hành một phiên bản mới của Apigee Edge dành cho đám mây riêng tư. Mục đích của bản phát hành này là để xử lý vấn đề lỗ hổng trong Apache Log4j2. Hãy xem phần Đã khắc phục vấn đề bảo mật.

Quy trình cập nhật

Khi bạn cập nhật bản phát hành này, các thành phần trong danh sách RPM sau đây sẽ được cập nhật:

  • edge-gateway-4.50.00-0.0.20150.noarch.rpm
  • edge-management-server-4.50.00-0.0.20150.noarch.rpm
  • edge-message-processor-4.50.00-0.0.20150.noarch.rpm
  • edge-postgres-server-4.50.00-0.0.20150.noarch.rpm
  • edge-qpid-server-4.50.00-0.0.20150.noarch.rpm
  • edge-router-4.50.00-0.0.20150.noarch.rpm
  • edge-analytics-4.50.00-0.0.40053.noarch.rpm
  • apigee-machinekey-1.1.2-0.0.20017.noarch.rpm

Bạn có thể kiểm tra phiên bản RPM mình đã cài đặt để xem có cần cập nhật hay không bằng cách nhập:

apigee-all version

Để cập nhật bản cài đặt, hãy thực hiện quy trình sau trên các nút Edge:

  1. Trên tất cả các nút Edge:

    1. Dọn dẹp kho lưu trữ Yum:
      sudo yum clean all
    2. Tải tệp bootstrap_4.50.00.sh Edge 4.50.00 mới nhất xuống /tmp/bootstrap_4.50.00.sh:
      curl https://software.apigee.com/bootstrap_4.50.00.sh -o /tmp/bootstrap_4.50.00.sh
    3. Cài đặt tiện ích và phần phụ thuộc apigee-service của Edge 4.50.00:
      sudo bash /tmp/bootstrap_4.50.00.sh apigeeuser=uName apigeepassword=pWord

      trong đó uName:pWord là tên người dùng và mật khẩu mà bạn nhận được từ Apigee. Nếu bỏ qua pWord, bạn sẽ được nhắc nhập mã này.

    4. Dùng lệnh source để thực thi tập lệnh apigee-service.sh:
      source /etc/profile.d/apigee-service.sh
  2. Cập nhật tiện ích apigee-machinekey:
    /opt/apigee/apigee-service/bin/apigee-service apigee-machinekey update
  3. Trên tất cả các nút Edge, hãy thực thi tập lệnh update.sh cho quy trình cạnh:
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  4. Nếu bạn đang sử dụng Apigee mTLS, hãy làm theo quy trình được mô tả trong bài viết Nâng cấp Apigee mTLS. Để biết thêm thông tin, hãy xem bài viết Giới thiệu về Apigee mTLS.

Đã khắc phục các vấn đề bảo mật

Vấn đề bảo mật sau đã được khắc phục trong bản phát hành này.

ID vấn đề Nội dung mô tả
CVE-2021-44228

Apache Log4j2 2.0-beta9 đến 2.15.0 (ngoại trừ các bản phát hành bảo mật 2.12.2, 2.12.3 và 2.3.1) Các tính năng JNDI được sử dụng trong cấu hình, thông điệp nhật ký và tham số không bảo vệ khỏi LDAP do kẻ tấn công kiểm soát và các điểm cuối liên quan đến JNDI khác. Kẻ tấn công có thể kiểm soát thông điệp nhật ký hoặc tham số thông điệp nhật ký có thể thực thi mã tuỳ ý được tải từ máy chủ LDAP khi tính năng thay thế tra cứu thông báo được bật. Từ log4j 2.15.0, hành vi này đã bị tắt theo mặc định. Kể từ phiên bản 2.16.0 (cùng với 2.12.2, 2.12.3 và 2.3.1), chức năng này đã bị xoá hoàn toàn. Xin lưu ý rằng lỗ hổng bảo mật này chỉ xảy ra trên log4j-core và không ảnh hưởng đến log4net, log4cxx hoặc các dự án khác có sử dụng Dịch vụ ghi nhật ký Apache.

Đã khắc phục sự cố này. Xem phần Bản sửa lỗi.

Các thay đổi đối với phần mềm được hỗ trợ

Không có thay đổi nào đối với phần mềm được hỗ trợ trong bản phát hành này.

Ngừng sử dụng và ngừng hoạt động

Bản phát hành này không có ngừng sử dụng hoặc ngừng sử dụng mới.

Tính năng mới

Không có tính năng mới nào trong bản phát hành này.

Sửa lỗi

Phần này liệt kê các lỗi Đám mây riêng tư đã được khắc phục trong bản phát hành này.

ID vấn đề Nội dung mô tả
211001890

Thư viện Apache Log4j đi kèm với thư viện bên thứ ba của các thành phần Cổng đã được cập nhật lên phiên bản 2.17.0

Vấn đề đã biết

Hãy xem bài viết Các vấn đề đã biết với Edge cho Đám mây riêng tư để biết danh sách đầy đủ các vấn đề đã biết.