このページは Cloud Translation API によって翻訳されました。

4.51.00.03 - Edge for Private Cloud リリースノート

Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントをご覧ください。

2022 年 1 月 13 日に、Apigee Edge for Private Cloud の新しいバージョンがリリースされました。このリリースの目的は、Apache Log4j2 の脆弱性の問題に対処することです。セキュリティ問題の修正済みをご覧ください。

更新手順

このリリースを更新すると、次の RPM のリストのコンポーネントが更新されます。

edge-gateway-4.51.00-0.0.60151.noarch.rpm
edge-management-server-4.51.00-0.0.60151.noarch.rpm
edge-message-processor-4.51.00-0.0.60151.noarch.rpm
edge-postgres-server-4.51.00-0.0.60151.noarch.rpm
edge-qpid-server-4.51.00-0.0.60151.noarch.rpm
edge-router-4.51.00-0.0.60151.noarch.rpm
edge-analytics-4.51.00-0.0.40054.noarch.rpm
apigee-machinekey-1.1.2-0.0.20018.noarch.rpm

次のコマンドを入力すると、現在インストールされている RPM のバージョンをチェックして、更新する必要があるかどうかを確認できます。

apigee-all version

インストールを更新するには、Edge ノードで次の手順を行います。

すべての Edge ノード:
1. Yum リポジトリをクリーンアップします。
```
sudo yum clean all
```
2. 最新の Edge 4.51.00 bootstrap_4.51.00.sh ファイルを /tmp/bootstrap_4.51.00.sh にダウンロードします。
```
curl https://software.apigee.com/bootstrap_4.51.00.sh -o /tmp/bootstrap_4.51.00.sh
```
3. Edge 4.51.00 の apigee-service ユーティリティと依存関係をインストールします。
```
sudo bash /tmp/bootstrap_4.51.00.sh apigeeuser=uName apigeepassword=pWord
```
  ここで、uName:pWord は Apigee から受け取ったユーザー名とパスワードです。pWord を省略すると、パスワードの入力を求められます。
4. source コマンドを使用して apigee-service.sh スクリプトを実行します。
```
source /etc/profile.d/apigee-service.sh
```

apigee-machinekey ユーティリティを更新します。

/opt/apigee/apigee-service/bin/apigee-service apigee-machinekey update

すべての Edge ノードで、エッジプロセスの update.sh スクリプトを実行します。
```
/opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
```
Apigee mTLS を使用している場合は、Apigee mTLS のアップグレードの手順に沿って操作します。詳細については、Apigee mTLS の概要をご覧ください。

セキュリティに関する問題を解決しました

今回のリリースでは次のセキュリティの問題が解決されています。

問題 ID	説明
CVE-2021-44228	Apache Log4j2 2.0-beta9 ～ 2.15.0（セキュリティリリース 2.12.2、2.12.3、2.3.1 を除く）の構成、ログメッセージ、パラメータに使用する JNDI 機能は、攻撃者が制御する LDAP やその他の JNDI 関連エンドポイントから保護されません。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージ検索置換が有効な場合に、LDAP サーバーから読み込んだ任意のコードを実行できます。log4j 2.15.0 以降、この動作はデフォルトで無効になっています。この機能は、バージョン 2.16.0（2.12.2、2.12.3、2.3.1）とともに完全に削除されました。この脆弱性は log4j-core に固有のものであり、log4net、log4cxx などの Apache Logging Services プロジェクトには影響しません。上記の Apache Log4j の脆弱性に関する注意事項をご覧ください。

問題 ID

説明

CVE-2021-44228

Apache Log4j2 2.0-beta9 ～ 2.15.0（セキュリティリリース 2.12.2、2.12.3、2.3.1 を除く）の構成、ログメッセージ、パラメータに使用する JNDI 機能は、攻撃者が制御する LDAP やその他の JNDI 関連エンドポイントから保護されません。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージ検索置換が有効な場合に、LDAP サーバーから読み込んだ任意のコードを実行できます。log4j 2.15.0 以降、この動作はデフォルトで無効になっています。この機能は、バージョン 2.16.0（2.12.2、2.12.3、2.3.1）とともに完全に削除されました。この脆弱性は log4j-core に固有のものであり、log4net、log4cxx などの Apache Logging Services プロジェクトには影響しません。

上記の Apache Log4j の脆弱性に関する注意事項をご覧ください。

サポートされているソフトウェアの変更点

このリリースでサポートされているソフトウェアに変更はありません。

非推奨になった機能と廃止された機能

このリリースでは、新しい非推奨や廃止はありません。

新機能

このリリースには新機能はありません。

バグの修正

このセクションでは、このリリースで修正された Private Cloud のバグを示します。

問題 ID	説明
211001890	Gateway コンポーネントのサードパーティライブラリに付属している Apache Log4j ライブラリがバージョン 2.17.0 に更新されました。

既知の問題

既知の問題の完全なリストについては、Edge for Private Cloud の既知の問題をご覧ください。