Berikut ini penjelasan semua buletin keamanan yang terkait dengan Apigee.
Untuk mendapatkan buletin keamanan terbaru, lakukan salah satu hal berikut:
- Tambahkan URL halaman ini terhadap pembaca feed Anda.
- Tambahkan URL feed langsung ke pembaca feed:
https://cloud.google.com/feeds/apigee-security-bulletins.xml
GCP-2024-006
Dipublikasikan: 5-2-2024
Deskripsi | Keparahan | Notes |
---|---|---|
Saat proxy Pengelolaan API Apigee terhubung ke endpoint target atau server target, secara default proxy tidak melakukan validasi nama host untuk sertifikat yang diberikan oleh endpoint target atau server target. Jika validasi nama host tidak diaktifkan menggunakan salah satu opsi berikut, proxy Apigee yang terhubung ke endpoint target atau server target mungkin berisiko terkena serangan man in the middle oleh pengguna yang diotorisasi. Untuk informasi selengkapnya, lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Private Cloud). Produk yang Terpengaruh Deployment proxy Apigee di platform Apigee berikut terpengaruh:
Apa yang Harus Saya Lakukan? Pelanggan dapat menggunakan salah satu opsi berikut untuk mengaktifkan validasi ini: Opsi 1 - Menambahkan konfigurasi ke proxy Anda dapat mengaktifkan validasi endpoint target atau server target dengan menambahkan konfigurasi <HTTPTargetConnection>
<SSLInfo>
<Enabled>true</Enabled>
<TrustStore>ref://mytruststoreref</TrustStore>
<CommonName>*.example.com</CommonName>
</SSLInfo>
<URL>https://my.example.com/</URL>
</HTTPTargetConnection>
Jika konfigurasi ini ada di elemen Apigee merekomendasikan pendekatan ini. Anda dapat menguji proxy satu per satu untuk mengonfirmasi bahwa validasi berjalan sebagaimana mestinya, dengan potensi gangguan traffic minimal. Untuk informasi selengkapnya tentang menguji validasi nama host di proxy Anda dan melihat kesalahan, lihat Menggunakan Alat Pelacakan. Opsi 2 - Menetapkan tanda tingkat organisasi Anda dapat menetapkan tanda tingkat organisasi Apigee untuk mengaktifkan validasi nama host untuk semua proxy dan target yang di-deploy di organisasi Anda. Jika tanda Catatan: Meskipun opsi ini dapat membantu Anda mengaktifkan fitur di seluruh organisasi, kegagalan validasi nama host dapat terjadi jika target Anda tidak menunjukkan sertifikat yang diharapkan.
Apigee merekomendasikan untuk menerapkan perubahan ini terlebih dahulu di lingkungan non-produksi untuk memastikan bahwa validasi berfungsi sebagaimana mestinya dan tidak mengakibatkan gangguan produksi. Jika validasi nama host gagal untuk target apa pun, pesan kesalahan berikut akan ditampilkan: {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}} |
Tinggi |
GCP-2023-032
Dipublikasikan: 13-10-2023
Diperbarui: 03-11-2023
Deskripsi | Keparahan | Notes |
---|---|---|
Update 03-11-2023: Menambahkan masalah umum untuk Apigee Edge untuk Private Cloud. Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk layanan Apigee Ingress (Cloud Service Mesh) yang digunakan oleh Apigee X dan Apigee Hybrid. Kerentanan ini dapat menyebabkan DoS fungsionalitas pengelolaan API Apigee. Produk yang Terpengaruh
Produk yang tidak terpengaruh
Apa yang Harus Saya Lakukan?
Kerentanan Apa yang Ditangani oleh Patch Ini? Kerentanan CVE-2023-44487 dapat menyebabkan DoS fungsi pengelolaan API Apigee. |
Tinggi | CVE-2023-44487 |