Ta strona została przetłumaczona przez Cloud Translation API.

4.51.00.03 – Informacje o wersji Edge dla Private Cloud

Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje

13 stycznia 2022 roku opublikowaliśmy nową wersję Apigee Edge dla Private Cloud. Celem tej wersji jest rozwiązanie problemu z lukami w zabezpieczeniach Apache Log4j2. Zobacz Usunięto problemy z zabezpieczeniami.

Zaktualizuj procedurę

Zaktualizowanie tej wersji spowoduje zaktualizowanie komponentów na tej liście RPM:

edge-gateway-4.51.00-0.0.60151.noarch.rpm
edge-management-server-4.51.00-0.0.60151.noarch.rpm
edge-message-processor-4.51.00-0.0.60151.noarch.rpm
edge-postgres-server-4.51.00-0.0.60151.noarch.rpm
edge-qpid-server-4.51.00-0.0.60151.noarch.rpm
edge-router-4.51.00-0.0.60151.noarch.rpm
edge-analytics-4.51.00-0.0.40054.noarch.rpm
apigee-machinekey-1.1.2-0.0.20018.noarch.rpm

Aby zobaczyć, czy masz obecnie zainstalowane wersje pakietu RPM, wpisz:

apigee-all version

Aby zaktualizować instalację, wykonaj tę procedurę w węzłach brzegowych:

We wszystkich węzłach brzegowych:
1. Wyczyść repozytorium Yum:
```
sudo yum clean all
```
2. Pobierz najnowszy plik Edge 4.51.00 bootstrap_4.51.00.sh do przeglądarki /tmp/bootstrap_4.51.00.sh:
```
curl https://software.apigee.com/bootstrap_4.51.00.sh -o /tmp/bootstrap_4.51.00.sh
```
3. Zainstaluj narzędzie Edge 4.51.00 apigee-service i zależności:
```
sudo bash /tmp/bootstrap_4.51.00.sh apigeeuser=uName apigeepassword=pWord
```
  gdzie uName:pWord to nazwa użytkownika i hasło otrzymane z Apigee. Jeśli pominiesz właściwość pWord, poprosimy Cię o jej podanie.
4. Aby wykonać skrypt apigee-service.sh, użyj polecenia source:
```
source /etc/profile.d/apigee-service.sh
```

Zaktualizuj narzędzie apigee-machinekey:

/opt/apigee/apigee-service/bin/apigee-service apigee-machinekey update

Na wszystkich węzłach brzegowych uruchom skrypt update.sh dla procesu brzegowego:
```
/opt/apigee/apigee-setup/bin/update.sh -c edge -f configFile
```
Jeśli używasz Apigee mTLS, wykonaj procedurę opisaną w artykule Uaktualnienie Apigee mTLS. Więcej informacji znajdziesz we wprowadzeniu do mTLS w Apigee.

Naprawiono problemy z bezpieczeństwem

Naprawiliśmy w niej następujący błąd związany z bezpieczeństwem.

Identyfikator problemu	Opis
CVE-2021-44228	Funkcje JNDI używane w konfiguracji, komunikatach logu i parametrach nie chronią przed kontrolowanymi przez atakującego LDAP i innymi punktami końcowymi JNDI kontrolowanego przez atakującego LDAP i innych punktów końcowych związanych z JNDI, Apache Log4j2 w wersji od 2.0 do wersji beta 9 do 2.15.0 (z wyjątkiem wersji zabezpieczeń 2.12.2, 2.12.3 i 2.3.1). Osoba przeprowadzająca atak, która może kontrolować komunikaty logu lub parametry wiadomości, może wykonać dowolny kod wczytany z serwerów LDAP, gdy włączone jest zastępowanie wyszukiwania wiadomości. Od log4j 2.15.0 to zachowanie jest domyślnie wyłączone. Ta funkcja została całkowicie usunięta z wersji 2.16.0 (wraz z 2.12.2, 2.12.3 i 2.3.1). Ta luka w zabezpieczeniach dotyczy tylko log4j-core i nie ma wpływu na log4net, log4cxx ani inne projekty usług Apache Logging. Zapoznaj się z powyższym uwagami na temat luki w zabezpieczeniach Apache Log4j.

Identyfikator problemu

Opis

CVE-2021-44228

Funkcje JNDI używane w konfiguracji, komunikatach logu i parametrach nie chronią przed kontrolowanymi przez atakującego LDAP i innymi punktami końcowymi JNDI kontrolowanego przez atakującego LDAP i innych punktów końcowych związanych z JNDI, Apache Log4j2 w wersji od 2.0 do wersji beta 9 do 2.15.0 (z wyjątkiem wersji zabezpieczeń 2.12.2, 2.12.3 i 2.3.1). Osoba przeprowadzająca atak, która może kontrolować komunikaty logu lub parametry wiadomości, może wykonać dowolny kod wczytany z serwerów LDAP, gdy włączone jest zastępowanie wyszukiwania wiadomości. Od log4j 2.15.0 to zachowanie jest domyślnie wyłączone. Ta funkcja została całkowicie usunięta z wersji 2.16.0 (wraz z 2.12.2, 2.12.3 i 2.3.1). Ta luka w zabezpieczeniach dotyczy tylko log4j-core i nie ma wpływu na log4net, log4cxx ani inne projekty usług Apache Logging.

Zapoznaj się z powyższym uwagami na temat luki w zabezpieczeniach Apache Log4j.

Zmiany w obsługiwanym oprogramowaniu

Ta wersja nie wprowadza żadnych zmian w obsługiwanym oprogramowaniu.

Wycofywanie i wycofanie

Ta wersja nie zawiera żadnych nowych elementów wycofanych ani wycofanych.

Nowe funkcje

Ta wersja nie zawiera żadnych nowych funkcji.

Poprawki błędów

Ta sekcja zawiera listę błędów w Private Cloud, które zostały naprawione w tej wersji.

Identyfikator problemu	Opis
211001890	Biblioteka Apache Log4j dostarczana z bibliotekami innych firm w komponentach bramy została zaktualizowana do wersji 2.17.0

Znane problemy

Pełną listę znanych problemów znajdziesz w artykule Znane problemy z Edge for Private Cloud.