보안 게시판

다음은 Apigee와 관련된 모든 보안 게시판에 대한 설명입니다.

제공되는 최신 보안 게시판을 보려면 다음 중 하나를 수행합니다.

이 페이지의 URL을 피드 리더에 추가합니다.
피드 리더에 피드 URL을 직접 추가합니다. https://cloud.google.com/feeds/apigee-security-bulletins.xml

GCP-2024-006

게시: 2024년 2월 5일

설명 심각도 참고

설명	심각도	참고
Apigee API 관리 프록시가 대상 엔드포인트 또는 대상 서버에 연결되면 프록시는 기본적으로 대상 엔드포인트 또는 대상 서버에서 제공한 인증서에 대해 호스트 이름 검증을 수행하지 않습니다. 다음 옵션 중 하나를 사용하여 호스트 이름 검증을 사용 설정하지 않으면 대상 엔드포인트 또는 대상 서버에 연결하는 Apigee 프록시가 승인된 사용자의 중간자 공격 위험에 노출될 수 있습니다. 자세한 내용은 Edge에서 백엔드로 TLS 구성(Cloud 및 프라이빗 클라우드)을 참조하세요. 영향을 받는 제품 다음 Apigee 플랫폼의 Apigee 프록시 배포가 영향을 받습니다. 퍼블릭 클라우드용 Apigee Edge 프라이빗 클라우드용 Apigee Edge 어떻게 해야 하나요? 고객은 다음 옵션 중 하나를 활용하여 검증을 사용 설정할 수 있습니다. 옵션 1 - 프록시에 구성 추가 다음과 같이 프록시 구성에 있는 `<HTTPTargetConnection>` 요소의 `SSLInfo` 섹션에 `<CommonName>` 구성을 추가하여 대상 엔드포인트 또는 대상 서버의 검증을 사용 설정할 수 있습니다. <HTTPTargetConnection> <SSLInfo> <Enabled>true</Enabled> <TrustStore>ref://mytruststoreref</TrustStore> <CommonName>.example.com</CommonName> </SSLInfo> <URL>https://my.example.com/</URL> </HTTPTargetConnection> 이 구성이 프록시 구성의 `<HTTPTargetConnection>` 요소에 있으면 Apigee는 호스트 이름 검증을 위해 `<CommonName>`에 지정된 값을 사용합니다. 이 필드에는 와일드 카드를 사용할 수 있습니다. Apigee에서는 이 접근 방식을 권장합니다. 프록시를 개별적으로 테스트하여 검증이 의도한 대로 작동하는지 확인하고 트래픽 중단을 최소화할 수 있습니다. 프록시에서 호스트 이름 검증 테스트 및 오류 확인에 대한 자세한 내용은 Trace 도구 사용을 참조하세요. 옵션 2 - 조직 수준 플래그 설정* Apigee 조직 수준 플래그를 설정하여 조직에 배포된 모든 프록시 및 대상에 대해 호스트 이름 검증을 사용 설정할 수 있습니다. 조직 속성에서 `features.strictSSLEnforcement` 플래그가 `true`로 설정되면 프록시가 대상 엔드포인트 또는 대상 서버에 연결될 때마다 호스트 이름 검증이 시행됩니다. 참고: 이 옵션을 사용하면 조직 전체에서 이 기능을 사용 설정할 수 있지만 대상에 필요한 인증서가 없으면 호스트 이름 검증 오류가 발생할 수 있습니다. 퍼블릭 클라우드용 Apigee Edge 배포의 경우: 조직 속성에서 `features.strictSSLEnforcement` 플래그를 `true`로 설정하려면 Google Cloud 지원팀에 문의하세요. 참고: 이 플래그를 사용 설정하면 조직의 모든 환경과 해당 환경 내에 배포된 모든 프록시에 대한 SSL 확인이 시행됩니다. 프라이빗 클라우드용 Apigee Edge 배포의 경우: 조직 또는 시스템 관리자가 `features.strictSSLEnforcement` 플래그를 `true`로 설정할 수 있습니다. 플래그 설정에 대한 자세한 내용은 조직 속성 업데이트를 참조하세요. 참고: Organizations API를 사용하여 조직 수준 플래그를 업데이트할 때는 이전 구성 설정을 덮어쓰지 않도록 POST 요청에 모든 기존 플래그를 포함해야 합니다. 플래그를 설정한 후 변경사항을 적용하려면 각 메시지 프로세서를 개별적으로 다시 시작해야 합니다. 다음 명령어를 사용하세요. apigee-service edge-message-processor restart 이 변경사항을 롤백하려면 동일한 Organizations API를 사용하여 플래그를 `false`로 설정한 후 각 메시지 프로세서를 다시 시작합니다. 참고: 이 플래그를 사용 설정하면 조직의 모든 환경과 해당 환경 내에 배포된 모든 프록시에 대한 SSL 확인이 시행됩니다. 그러나 `<IgnoreValidationErrors>` 가 `true`로 설정된 경우 감지된 모든 검증 오류가 무시됩니다. 검증이 의도한 대로 작동하고 프로덕션 중단이 발생하지 않도록 비프로덕션 환경에서 이 변경사항을 먼저 구현하는 것이 좋습니다. 대상에 대한 호스트 이름 검증이 실패하면 다음 오류 메시지가 반환됩니다. {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}	높음

Apigee API 관리 프록시가 대상 엔드포인트 또는 대상 서버에 연결되면 프록시는 기본적으로 대상 엔드포인트 또는 대상 서버에서 제공한 인증서에 대해 호스트 이름 검증을 수행하지 않습니다. 다음 옵션 중 하나를 사용하여 호스트 이름 검증을 사용 설정하지 않으면 대상 엔드포인트 또는 대상 서버에 연결하는 Apigee 프록시가 승인된 사용자의 중간자 공격 위험에 노출될 수 있습니다. 자세한 내용은 Edge에서 백엔드로 TLS 구성(Cloud 및 프라이빗 클라우드)을 참조하세요.

영향을 받는 제품

다음 Apigee 플랫폼의 Apigee 프록시 배포가 영향을 받습니다.

퍼블릭 클라우드용 Apigee Edge
프라이빗 클라우드용 Apigee Edge

어떻게 해야 하나요?

고객은 다음 옵션 중 하나를 활용하여 검증을 사용 설정할 수 있습니다.

옵션 1 - 프록시에 구성 추가

다음과 같이 프록시 구성에 있는 <HTTPTargetConnection> 요소의 SSLInfo 섹션에 <CommonName> 구성을 추가하여 대상 엔드포인트 또는 대상 서버의 검증을 사용 설정할 수 있습니다.

<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

이 구성이 프록시 구성의 <HTTPTargetConnection> 요소에 있으면 Apigee는 호스트 이름 검증을 위해 <CommonName>에 지정된 값을 사용합니다. 이 필드에는 와일드 카드를 사용할 수 있습니다.

Apigee에서는 이 접근 방식을 권장합니다. 프록시를 개별적으로 테스트하여 검증이 의도한 대로 작동하는지 확인하고 트래픽 중단을 최소화할 수 있습니다. 프록시에서 호스트 이름 검증 테스트 및 오류 확인에 대한 자세한 내용은 Trace 도구 사용을 참조하세요.

옵션 2 - 조직 수준 플래그 설정

Apigee 조직 수준 플래그를 설정하여 조직에 배포된 모든 프록시 및 대상에 대해 호스트 이름 검증을 사용 설정할 수 있습니다. 조직 속성에서 features.strictSSLEnforcement 플래그가 true로 설정되면 프록시가 대상 엔드포인트 또는 대상 서버에 연결될 때마다 호스트 이름 검증이 시행됩니다.

참고: 이 옵션을 사용하면 조직 전체에서 이 기능을 사용 설정할 수 있지만 대상에 필요한 인증서가 없으면 호스트 이름 검증 오류가 발생할 수 있습니다.

퍼블릭 클라우드용 Apigee Edge 배포의 경우:
조직 속성에서 features.strictSSLEnforcement 플래그를 true로 설정하려면 Google Cloud 지원팀에 문의하세요.

참고: 이 플래그를 사용 설정하면 조직의 모든 환경과 해당 환경 내에 배포된 모든 프록시에 대한 SSL 확인이 시행됩니다.
프라이빗 클라우드용 Apigee Edge 배포의 경우:
조직 또는 시스템 관리자가 features.strictSSLEnforcement 플래그를 true로 설정할 수 있습니다. 플래그 설정에 대한 자세한 내용은 조직 속성 업데이트를 참조하세요.

참고: Organizations API를 사용하여 조직 수준 플래그를 업데이트할 때는 이전 구성 설정을 덮어쓰지 않도록 POST 요청에 모든 기존 플래그를 포함해야 합니다.

플래그를 설정한 후 변경사항을 적용하려면 각 메시지 프로세서를 개별적으로 다시 시작해야 합니다. 다음 명령어를 사용하세요.
```
apigee-service edge-message-processor restart
```
이 변경사항을 롤백하려면 동일한 Organizations API를 사용하여 플래그를 false로 설정한 후 각 메시지 프로세서를 다시 시작합니다.

참고: 이 플래그를 사용 설정하면 조직의 모든 환경과 해당 환경 내에 배포된 모든 프록시에 대한 SSL 확인이 시행됩니다. 그러나 <IgnoreValidationErrors> 가 true로 설정된 경우 감지된 모든 검증 오류가 무시됩니다.

검증이 의도한 대로 작동하고 프로덕션 중단이 발생하지 않도록 비프로덕션 환경에서 이 변경사항을 먼저 구현하는 것이 좋습니다. 대상에 대한 호스트 이름 검증이 실패하면 다음 오류 메시지가 반환됩니다.

{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

높음

GCP-2023-032

게시: 2023년 10월 13일

업데이트: 2023년 11월 3일

설명	심각도	참고
2023년 11월 3일 업데이트: 프라이빗 클라우드용 Apigee Edge에 대한 알려진 문제가 추가되었습니다. 최근 서비스 거부(DoS) 취약점은 Apigee X 및 Apigee Hybrid에서 사용하는 Apigee 인그레스(Anthos Service Mesh) 서비스를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Apigee API 관리 기능에 대한 DoS가 발생할 수 있습니다. 영향을 받는 제품 Apigee X Google Cloud 네트워크 부하 분산기(레이어 4) 또는 커스텀 레이어 4 부하 분산기를 통해 액세스할 수 있는 Apigee X의 배포가 영향을 받습니다. 핫픽스는 모든 Apigee X 인스턴스에 적용되었습니다. Apigee Hybrid HTTP/2 요청을 Apigee 인그레스에 연결하도록 허용하는 Apigee Hybrid 인스턴스가 영향을 받습니다. 고객은 Apigee Hybrid 인그레스를 프론팅하는 부하 분산기에서 HTTP/2 요청이 Apigee 인그레스 서비스에 도달하도록 허용하는지 확인해야 합니다. Private Cloud용 Apigee Edge 프라이빗 클라우드용 Edge 라우터 및 관리 서버 구성요소는 인터넷에 노출되며 잠재적으로 취약할 수 있습니다. HTTP/2가 프라이빗 클라우드용 Edge의 다른 Edge 관련 구성요소의 관리 포트에서 사용 설정되더라도 이러한 구성요소는 인터넷에 노출되지 않습니다. Cassandra, Zookeeper 등과 같은 에지가 아닌 구성요소에서 HTTP/2는 사용 설정되지 않습니다. 프라이빗 클라우드용 Edge 취약점을 해결하려면 프라이빗 클라우드용 Edge에서 알려진 문제의 단계를 수행하는 것이 좋습니다. 영향을 받지 않는 제품 Apigee X Google Cloud 애플리케이션 부하 분산기(레이어 7)를 통해서만 액세스되는 Apigee X 인스턴스는 영향을 받지 않습니다. 여기에는 gRPC 프록시에 HTTP/2가 사용 설정된 배포가 포함됩니다. Google Cloud API 게이트웨이 Google Cloud API 게이트웨이는 영향을 받지 않습니다. Apigee Edge Cloud Apigee Edge Cloud는 이 취약점의 영향을 받지 않습니다. 어떻게 해야 하나요? Apigee X 2023년 11월 3일 업데이트: 이 취약점은 2023년 10월 13일에 출시된 Apigee X 인스턴스에 대한 업데이트를 통해 해결되었습니다. 자세한 내용은 출시 노트를 참조하세요. Apigee Hybrid Apigee Hybrid 고객은 다음 패치 버전 중 하나로 업그레이드해야 합니다. 2023년 10월 13일 금요일에 출시된 v1.10.3-hotfix.2 2023년 10월 13일 금요일에 출시된 v1.9.4-hotfix.1 Private Cloud용 Apigee Edge 프라이빗 클라우드용 Apigee Edge 사용자는 노출된 구성요소의 명시적 HTTP/2 중지에 대해 프라이빗 클라우드용 Edge에서 알려진 문제에 게시된 안내를 따를 수 있습니다. 이러한 패치로 해결되는 취약점 취약점 CVE-2023-44487로 인해 Apigee API 관리 기능에 대한 DoS가 발생할 수 있습니다.	높음	CVE-2023-44487

설명

심각도

참고

2023년 11월 3일 업데이트: 프라이빗 클라우드용 Apigee Edge에 대한 알려진 문제가 추가되었습니다.

최근 서비스 거부(DoS) 취약점은 Apigee X 및 Apigee Hybrid에서 사용하는 Apigee 인그레스(Anthos Service Mesh) 서비스를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Apigee API 관리 기능에 대한 DoS가 발생할 수 있습니다.

영향을 받는 제품

Apigee X

Google Cloud 네트워크 부하 분산기(레이어 4) 또는 커스텀 레이어 4 부하 분산기를 통해 액세스할 수 있는 Apigee X의 배포가 영향을 받습니다. 핫픽스는 모든 Apigee X 인스턴스에 적용되었습니다.
Apigee Hybrid

HTTP/2 요청을 Apigee 인그레스에 연결하도록 허용하는 Apigee Hybrid 인스턴스가 영향을 받습니다. 고객은 Apigee Hybrid 인그레스를 프론팅하는 부하 분산기에서 HTTP/2 요청이 Apigee 인그레스 서비스에 도달하도록 허용하는지 확인해야 합니다.
Private Cloud용 Apigee Edge

프라이빗 클라우드용 Edge 라우터 및 관리 서버 구성요소는 인터넷에 노출되며 잠재적으로 취약할 수 있습니다. HTTP/2가 프라이빗 클라우드용 Edge의 다른 Edge 관련 구성요소의 관리 포트에서 사용 설정되더라도 이러한 구성요소는 인터넷에 노출되지 않습니다. Cassandra, Zookeeper 등과 같은 에지가 아닌 구성요소에서 HTTP/2는 사용 설정되지 않습니다. 프라이빗 클라우드용 Edge 취약점을 해결하려면 프라이빗 클라우드용 Edge에서 알려진 문제의 단계를 수행하는 것이 좋습니다.

영향을 받지 않는 제품

Apigee X

Google Cloud 애플리케이션 부하 분산기(레이어 7)를 통해서만 액세스되는 Apigee X 인스턴스는 영향을 받지 않습니다. 여기에는 gRPC 프록시에 HTTP/2가 사용 설정된 배포가 포함됩니다.
Google Cloud API 게이트웨이

Google Cloud API 게이트웨이는 영향을 받지 않습니다.
Apigee Edge Cloud

Apigee Edge Cloud는 이 취약점의 영향을 받지 않습니다.

어떻게 해야 하나요?

Apigee X

2023년 11월 3일 업데이트: 이 취약점은 2023년 10월 13일에 출시된 Apigee X 인스턴스에 대한 업데이트를 통해 해결되었습니다. 자세한 내용은 출시 노트를 참조하세요.
Apigee Hybrid

Apigee Hybrid 고객은 다음 패치 버전 중 하나로 업그레이드해야 합니다.
- 2023년 10월 13일 금요일에 출시된 v1.10.3-hotfix.2
- 2023년 10월 13일 금요일에 출시된 v1.9.4-hotfix.1
Private Cloud용 Apigee Edge

프라이빗 클라우드용 Apigee Edge 사용자는 노출된 구성요소의 명시적 HTTP/2 중지에 대해 프라이빗 클라우드용 Edge에서 알려진 문제에 게시된 안내를 따를 수 있습니다.

이러한 패치로 해결되는 취약점

취약점 CVE-2023-44487로 인해 Apigee API 관리 기능에 대한 DoS가 발생할 수 있습니다.

높음

CVE-2023-44487