4.51.00.03 - Edge for Private Cloud リリースノート

現在、Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントをご確認ください
情報

2022 年 1 月 13 日に、Apigee Edge for Private Cloud の新しいバージョンをリリースしました。このリリースの目的は、Apache Log4j2 の脆弱性の問題に対処することです。 修正されたセキュリティの問題をご覧ください。

更新手順

このリリースを更新すると、次の RPM リストのコンポーネントが更新されます。

  • edge-gateway-4.51.00-0.0.60151.noarch.rpm
  • edge-management-server-4.51.00-0.0.60151.noarch.rpm
  • edge-message-processor-4.51.00-0.0.60151.noarch.rpm
  • edge-postgres-server-4.51.00-0.0.60151.noarch.rpm
  • edge-qpid-server-4.51.00-0.0.60151.noarch.rpm
  • edge-router-4.51.00-0.0.60151.noarch.rpm
  • edge-analytics-4.51.00-0.0.40054.noarch.rpm
  • apigee-machinekey-1.1.2-0.0.20018.noarch.rpm

次のコマンドを入力すると、現在インストールされている RPM バージョンを確認し、更新が必要かどうかを確認できます。

apigee-all version

インストール環境を更新するには、Edge ノードで次の手順を行います。

  1. すべての Edge ノードで次の操作を行います。

    1. Yum リポジトリをクリーンアップします。
      sudo yum clean all
    2. 最新の Edge 4.51.00 bootstrap_4.51.00.sh ファイルを /tmp/bootstrap_4.51.00.sh にダウンロードします。
      curl https://software.apigee.com/bootstrap_4.51.00.sh -o /tmp/bootstrap_4.51.00.sh
    3. Edge 4.51.00 の apigee-service ユーティリティと依存関係をインストールします。
      sudo bash /tmp/bootstrap_4.51.00.sh apigeeuser=uName apigeepassword=pWord

      ここで、uName:pWord は Apigee から受け取ったユーザー名とパスワードです。pWord を省略すると、入力するように求められます。

    4. source コマンドを使用して、apigee-service.sh スクリプトを実行します。
      source /etc/profile.d/apigee-service.sh
  2. apigee-machinekey ユーティリティを更新します。
    /opt/apigee/apigee-service/bin/apigee-service apigee-machinekey update
  3. すべての Edge ノードで、Edge プロセス用の update.sh スクリプトを実行します。
    /opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
  4. Apigee mTLS を使用している場合は、Apigee mTLS をアップグレードするの説明に従ってください。詳細については、Apigee mTLS の概要をご覧ください。

セキュリティの問題は解決

以下のセキュリティの問題はこのリリースで修正されています。

問題 ID 説明
CVE-2021-44228

Apache Log4j2 2.0-beta9 ~ 2.15.0(セキュリティ リリース 2.12.2、2.12.3、2.3.1 を除く)構成、ログメッセージ、パラメータで使用される JNDI 機能は、攻撃者が制御する LDAP やその他の JNDI 関連エンドポイントから保護しません。ログメッセージまたはログメッセージ パラメータを制御できる攻撃者は、メッセージ検索置換が有効な場合、LDAP サーバーから読み込まれた任意のコードを実行できます。log4j 2.15.0 以降、この動作はデフォルトで無効になっています。バージョン 2.16.0 以降(2.12.2、2.12.3、2.3.1 とともに)、この機能は完全に削除されています。この脆弱性は log4j-core に固有であり、log4net、log4cxx、その他の Apache Logging サービス プロジェクトには影響しません。

上記の Apache Log4j の脆弱性に関する注意事項をご覧ください。

サポート対象ソフトウェアの変更

このリリースでは、サポートされるソフトウェアに変更はありません。

非推奨になった機能と廃止された機能

このリリースには、新たに非推奨になった機能や廃止された機能はありません。

新しい機能と特長

このリリースには新機能はありません。

バグの修正

このセクションでは、このリリースで修正された Private Cloud のバグを示します。

問題 ID 説明
211001890

Gateway コンポーネントのサードパーティ ライブラリに付属の Apache Log4j ライブラリがバージョン 2.17.0 に更新されました。

既知の問題

既知の問題の一覧については、Edge for Private Cloud の既知の問題をご覧ください。