Halaman ini diterjemahkan oleh Cloud Translation API.

Buletin keamanan

Berikut ini penjelasan semua buletin keamanan yang terkait dengan Apigee.

Untuk mendapatkan buletin keamanan terbaru, lakukan salah satu hal berikut:

Tambahkan URL halaman ini terhadap pembaca feed Anda.
Tambahkan URL feed langsung ke pembaca feed: https://cloud.google.com/feeds/apigee-security-bulletins.xml

GCP-2024-006

Dipublikasikan: 5-2-2024

Deskripsi Keparahan Notes

Deskripsi	Keparahan	Notes
Saat proxy Pengelolaan API Apigee terhubung ke endpoint target atau server target, secara default proxy tidak melakukan validasi nama host untuk sertifikat yang diberikan oleh endpoint target atau server target. Jika validasi nama host tidak diaktifkan menggunakan salah satu opsi berikut, proxy Apigee yang terhubung ke endpoint target atau server target mungkin berisiko terkena serangan man in the middle oleh pengguna yang diotorisasi. Untuk informasi selengkapnya, lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Private Cloud). Produk yang Terpengaruh Deployment proxy Apigee di platform Apigee berikut terpengaruh: Apigee Edge untuk Cloud Publik Apigee Edge untuk Private Cloud Apa yang Harus Saya Lakukan? Pelanggan dapat menggunakan salah satu opsi berikut untuk mengaktifkan validasi ini: Opsi 1 - Menambahkan konfigurasi ke proxy Anda dapat mengaktifkan validasi endpoint target atau server target dengan menambahkan konfigurasi `<CommonName>` ke bagian `SSLInfo` elemen `<HTTPTargetConnection>` di konfigurasi proxy seperti yang ditunjukkan: <HTTPTargetConnection> <SSLInfo> <Enabled>true</Enabled> <TrustStore>ref://mytruststoreref</TrustStore> <CommonName>.example.com</CommonName> </SSLInfo> <URL>https://my.example.com/</URL> </HTTPTargetConnection> Jika konfigurasi ini ada di elemen `<HTTPTargetConnection>` konfigurasi proxy Anda, Apigee akan menggunakan nilai yang ditentukan di `<CommonName>` untuk validasi nama host. Karakter pengganti dapat digunakan di kolom ini. Apigee merekomendasikan pendekatan ini. Anda dapat menguji proxy satu per satu untuk mengonfirmasi bahwa validasi berjalan sebagaimana mestinya, dengan potensi gangguan traffic minimal. Untuk informasi selengkapnya tentang menguji validasi nama host di proxy Anda dan melihat kesalahan, lihat Menggunakan Alat Pelacakan. Opsi 2 - Menetapkan tanda tingkat organisasi* Anda dapat menetapkan tanda tingkat organisasi Apigee untuk mengaktifkan validasi nama host untuk semua proxy dan target yang di-deploy di organisasi Anda. Jika tanda `features.strictSSLEnforcement` disetel ke `true` di properti organisasi, validasi nama host akan diterapkan setiap kali proxy terhubung ke endpoint target atau server target. Catatan: Meskipun opsi ini dapat membantu Anda mengaktifkan fitur di seluruh organisasi, kegagalan validasi nama host dapat terjadi jika target Anda tidak menunjukkan sertifikat yang diharapkan. Untuk deployment Apigee Edge for Public Cloud: Hubungi Dukungan Google Cloud untuk menyetel tanda `features.strictSSLEnforcement` ke `true` di properti organisasi. Catatan: Mengaktifkan tanda ini akan memberlakukan pemeriksaan SSL untuk semua lingkungan di organisasi dan semua proxy yang di-deploy dalam lingkungan tersebut. Untuk deployment Apigee Edge for Private Cloud : Flag `features.strictSSLEnforcement` dapat ditetapkan ke `true` oleh administrator sistem atau organisasi. Untuk mengetahui informasi selengkapnya tentang cara menetapkan tanda, lihat Memperbarui properti organisasi. Catatan: Saat memperbarui tanda tingkat organisasi menggunakan Organization API, pastikan untuk menyertakan semua tanda yang ada di permintaan POST agar tidak menimpa setelan konfigurasi sebelumnya. Setelah tanda ditetapkan, setiap pemroses pesan harus dimulai ulang satu per satu agar perubahan diterapkan. Gunakan perintah berikut: apigee-service edge-message-processor restart Untuk me-roll back perubahan ini, gunakan Organization API yang sama untuk menetapkan tanda ke `false`, lalu mulai ulang setiap pemroses pesan. Catatan: Mengaktifkan tanda ini akan memberlakukan pemeriksaan SSL untuk semua lingkungan di organisasi dan semua proxy yang di-deploy dalam lingkungan tersebut. Namun, jika `<IgnoreValidationErrors>` disetel ke `true`, error validasi yang terdeteksi akan diabaikan. Apigee merekomendasikan untuk menerapkan perubahan ini terlebih dahulu di lingkungan non-produksi untuk memastikan bahwa validasi berfungsi sebagaimana mestinya dan tidak mengakibatkan gangguan produksi. Jika validasi nama host gagal untuk target apa pun, pesan kesalahan berikut akan ditampilkan: {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}	Tinggi

Saat proxy Pengelolaan API Apigee terhubung ke endpoint target atau server target, secara default proxy tidak melakukan validasi nama host untuk sertifikat yang diberikan oleh endpoint target atau server target. Jika validasi nama host tidak diaktifkan menggunakan salah satu opsi berikut, proxy Apigee yang terhubung ke endpoint target atau server target mungkin berisiko terkena serangan man in the middle oleh pengguna yang diotorisasi. Untuk informasi selengkapnya, lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Private Cloud).

Produk yang Terpengaruh

Deployment proxy Apigee di platform Apigee berikut terpengaruh:

Apigee Edge untuk Cloud Publik
Apigee Edge untuk Private Cloud

Apa yang Harus Saya Lakukan?

Pelanggan dapat menggunakan salah satu opsi berikut untuk mengaktifkan validasi ini:

Opsi 1 - Menambahkan konfigurasi ke proxy

Anda dapat mengaktifkan validasi endpoint target atau server target dengan menambahkan konfigurasi <CommonName> ke bagian SSLInfo elemen <HTTPTargetConnection> di konfigurasi proxy seperti yang ditunjukkan:

<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

Jika konfigurasi ini ada di elemen <HTTPTargetConnection> konfigurasi proxy Anda, Apigee akan menggunakan nilai yang ditentukan di <CommonName> untuk validasi nama host. Karakter pengganti dapat digunakan di kolom ini.

Apigee merekomendasikan pendekatan ini. Anda dapat menguji proxy satu per satu untuk mengonfirmasi bahwa validasi berjalan sebagaimana mestinya, dengan potensi gangguan traffic minimal. Untuk informasi selengkapnya tentang menguji validasi nama host di proxy Anda dan melihat kesalahan, lihat Menggunakan Alat Pelacakan.

Opsi 2 - Menetapkan tanda tingkat organisasi

Anda dapat menetapkan tanda tingkat organisasi Apigee untuk mengaktifkan validasi nama host untuk semua proxy dan target yang di-deploy di organisasi Anda. Jika tanda features.strictSSLEnforcement disetel ke true di properti organisasi, validasi nama host akan diterapkan setiap kali proxy terhubung ke endpoint target atau server target.

Catatan: Meskipun opsi ini dapat membantu Anda mengaktifkan fitur di seluruh organisasi, kegagalan validasi nama host dapat terjadi jika target Anda tidak menunjukkan sertifikat yang diharapkan.

Untuk deployment Apigee Edge for Public Cloud:
Hubungi Dukungan Google Cloud untuk menyetel tanda features.strictSSLEnforcement ke true di properti organisasi.

Catatan: Mengaktifkan tanda ini akan memberlakukan pemeriksaan SSL untuk semua lingkungan di organisasi dan semua proxy yang di-deploy dalam lingkungan tersebut.
Untuk deployment Apigee Edge for Private Cloud :
Flag features.strictSSLEnforcement dapat ditetapkan ke true oleh administrator sistem atau organisasi. Untuk mengetahui informasi selengkapnya tentang cara menetapkan tanda, lihat Memperbarui properti organisasi.

Catatan: Saat memperbarui tanda tingkat organisasi menggunakan Organization API, pastikan untuk menyertakan semua tanda yang ada di permintaan POST agar tidak menimpa setelan konfigurasi sebelumnya.

Setelah tanda ditetapkan, setiap pemroses pesan harus dimulai ulang satu per satu agar perubahan diterapkan. Gunakan perintah berikut:
```
apigee-service edge-message-processor restart
```
Untuk me-roll back perubahan ini, gunakan Organization API yang sama untuk menetapkan tanda ke false, lalu mulai ulang setiap pemroses pesan.

Catatan: Mengaktifkan tanda ini akan memberlakukan pemeriksaan SSL untuk semua lingkungan di organisasi dan semua proxy yang di-deploy dalam lingkungan tersebut. Namun, jika <IgnoreValidationErrors> disetel ke true, error validasi yang terdeteksi akan diabaikan.

Apigee merekomendasikan untuk menerapkan perubahan ini terlebih dahulu di lingkungan non-produksi untuk memastikan bahwa validasi berfungsi sebagaimana mestinya dan tidak mengakibatkan gangguan produksi. Jika validasi nama host gagal untuk target apa pun, pesan kesalahan berikut akan ditampilkan:

{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

Tinggi

GCP-2023-032

Dipublikasikan: 13-10-2023

Diperbarui: 03-11-2023

Deskripsi	Keparahan	Notes
Update 03-11-2023: Menambahkan masalah umum untuk Apigee Edge untuk Private Cloud. Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk layanan Apigee Ingress (Cloud Service Mesh) yang digunakan oleh Apigee X dan Apigee Hybrid. Kerentanan ini dapat menyebabkan DoS fungsionalitas pengelolaan API Apigee. Produk yang Terpengaruh Apigee X Deployment Apigee X yang dapat diakses melalui Load Balancer Jaringan Google Cloud (Lapisan 4), atau load balancer lapisan 4 kustom, terpengaruh. Hotfix telah diterapkan ke semua instance Apigee X. Apigee Hybrid Instance hybrid Apigee yang mengizinkan permintaan HTTP/2 untuk menjangkau Ingress Apigee terpengaruh. Pelanggan harus memverifikasi apakah load balancer yang mendahului traffic masuk hybrid Apigee memungkinkan permintaan HTTP/2 untuk menjangkau layanan Apigee Ingress. Apigee Edge untuk Private Cloud Komponen router dan server pengelolaan Edge untuk Private Cloud terekspos ke internet dan berpotensi rentan. Meskipun HTTP/2 diaktifkan pada port pengelolaan komponen khusus Edge lainnya dari Edge untuk Private Cloud, tidak satu pun komponen tersebut yang terekspos ke internet. Pada komponen non-Edge, seperti Cassandra, Zookeeper, dan lainnya, HTTP/2 tidak diaktifkan. Sebaiknya Anda melakukan langkah-langkah dalam Masalah umum pada Edge untuk Private Cloud guna mengatasi kerentanan Edge untuk Private Cloud. Produk yang tidak terpengaruh Apigee X Instance Apigee X yang hanya diakses melalui Load Balancer Aplikasi Google Cloud (Lapisan 7) tidak terpengaruh. Ini termasuk deployment yang mengaktifkan HTTP/2 untuk proxy gRPC. Gateway Google Cloud API Gateway API Google Cloud tidak terpengaruh. Cloud Apigee Edge Apigee Edge Cloud tidak terpengaruh oleh kerentanan ini. Apa yang Harus Saya Lakukan? Apigee X Update 3 November 2023: kerentanan telah diatasi melalui update untuk instance Apigee X yang dirilis pada 13 Oktober 2023. Lihat Catatan rilis untuk mengetahui detailnya. Apigee Hybrid Pelanggan hybrid Apigee harus melakukan upgrade ke salah satu versi patch berikut: v1.10.3-hotfix.2 dirilis pada Jumat, 13 Oktober 2023 v1.9.4-hotfix.1 dirilis pada Jumat, 13 Oktober 2023 Apigee Edge untuk Private Cloud Apigee Edge untuk pengguna Private Cloud dapat mengikuti petunjuk yang dipublikasikan dalam Masalah umum Edge for Private Cloud untuk penonaktifan HTTP/2 secara eksplisit untuk komponen yang terekspos. Kerentanan Apa yang Ditangani oleh Patch Ini? Kerentanan CVE-2023-44487 dapat menyebabkan DoS fungsi pengelolaan API Apigee.	Tinggi	CVE-2023-44487

Deskripsi

Keparahan

Notes

Update 03-11-2023: Menambahkan masalah umum untuk Apigee Edge untuk Private Cloud.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk layanan Apigee Ingress (Cloud Service Mesh) yang digunakan oleh Apigee X dan Apigee Hybrid. Kerentanan ini dapat menyebabkan DoS fungsionalitas pengelolaan API Apigee.

Produk yang Terpengaruh

Apigee X

Deployment Apigee X yang dapat diakses melalui Load Balancer Jaringan Google Cloud (Lapisan 4), atau load balancer lapisan 4 kustom, terpengaruh. Hotfix telah diterapkan ke semua instance Apigee X.
Apigee Hybrid

Instance hybrid Apigee yang mengizinkan permintaan HTTP/2 untuk menjangkau Ingress Apigee terpengaruh. Pelanggan harus memverifikasi apakah load balancer yang mendahului traffic masuk hybrid Apigee memungkinkan permintaan HTTP/2 untuk menjangkau layanan Apigee Ingress.
Apigee Edge untuk Private Cloud

Komponen router dan server pengelolaan Edge untuk Private Cloud terekspos ke internet dan berpotensi rentan. Meskipun HTTP/2 diaktifkan pada port pengelolaan komponen khusus Edge lainnya dari Edge untuk Private Cloud, tidak satu pun komponen tersebut yang terekspos ke internet. Pada komponen non-Edge, seperti Cassandra, Zookeeper, dan lainnya, HTTP/2 tidak diaktifkan. Sebaiknya Anda melakukan langkah-langkah dalam Masalah umum pada Edge untuk Private Cloud guna mengatasi kerentanan Edge untuk Private Cloud.

Produk yang tidak terpengaruh

Apigee X

Instance Apigee X yang hanya diakses melalui Load Balancer Aplikasi Google Cloud (Lapisan 7) tidak terpengaruh. Ini termasuk deployment yang mengaktifkan HTTP/2 untuk proxy gRPC.
Gateway Google Cloud API

Gateway API Google Cloud tidak terpengaruh.
Cloud Apigee Edge

Apigee Edge Cloud tidak terpengaruh oleh kerentanan ini.

Apa yang Harus Saya Lakukan?

Apigee X

Update 3 November 2023: kerentanan telah diatasi melalui update untuk instance Apigee X yang dirilis pada 13 Oktober 2023. Lihat Catatan rilis untuk mengetahui detailnya.
Apigee Hybrid

Pelanggan hybrid Apigee harus melakukan upgrade ke salah satu versi patch berikut:
- v1.10.3-hotfix.2 dirilis pada Jumat, 13 Oktober 2023
- v1.9.4-hotfix.1 dirilis pada Jumat, 13 Oktober 2023
Apigee Edge untuk Private Cloud

Apigee Edge untuk pengguna Private Cloud dapat mengikuti petunjuk yang dipublikasikan dalam Masalah umum Edge for Private Cloud untuk penonaktifan HTTP/2 secara eksplisit untuk komponen yang terekspos.

Kerentanan Apa yang Ditangani oleh Patch Ini?

Kerentanan CVE-2023-44487 dapat menyebabkan DoS fungsi pengelolaan API Apigee.

Tinggi

CVE-2023-44487