セキュリティに関する公開情報

ここでは、Apigee に関連するすべてのセキュリティに関する公開情報について説明します。

最新のセキュリティに関する公開情報を取得するには、次のいずれかを行います。

このページの URL をフィードリーダーに追加する
フィードの URL（https://cloud.google.com/feeds/apigee-security-bulletins.xml）をフィードリーダーに直接追加する

GCP-2023-032

公開日: 2023 年 10 月 13 日

更新日時: 2023 年 11 月 3 日

説明	重大度	メモ
2023 年 11 月 3 日更新: Apigee Edge for Private Cloud の既知の問題を追加しました。先ごろ、サービス拒否攻撃（DoS）の脆弱性が HTTP/2 プロトコル（CVE-2023-44487）の複数の実装で発見されました。これには、Apigee X と Apigee ハイブリッドで使用されている Apigee Ingress（Anthos Service Mesh）サービスも含まれます。この脆弱性により、Apigee API 管理機能の DoS が発生する可能性があります。影響を受けるプロダクト Apigee X Google Cloud ネットワークロードバランサ（レイヤ 4）またはカスタムのレイヤ 4 ロードバランサ経由でアクセス可能な Apigee X のデプロイが影響を受けます。すべての Apigee X インスタンスに修正プログラムが適用されました。 Apigee ハイブリッド HTTP/2 リクエストの Apigee Ingress への到達を許可している Apigee ハイブリッドインスタンスが影響を受けます。Apigee ハイブリッド Ingress の前に配置されているロードバランサで、HTTP/2 リクエストの Apigee Ingress サービスへの到達が許可されているかどうかを確認する必要があります。 Apigee Edge for Private Cloud Edge for Private Cloud ルーターと管理サーバーのコンポーネントはインターネットに公開されているため、脆弱になる可能性があります。HTTP/2 は、Edge for Private Cloud のその他の Edge 固有のコンポーネントの管理ポートで有効になっていますが、これらのコンポーネントはインターネットに公開されていません。Cassandra や Zookeeper などの Edge 以外のコンポーネントでは、HTTP/2 は有効になっていません。Edge for Private Cloud の既知の問題の手順に沿って、Edge for Private Cloud の脆弱性に対処することをおすすめします。影響を受けないプロダクト Apigee X Google Cloud アプリケーションロードバランサ（レイヤ 7）経由でのみアクセスされる Apigee X インスタンスは影響を受けません。これには、gRPC プロキシに対して HTTP/2 が有効になっているデプロイも含まれます。 Google Cloud API Gateway Google Cloud API Gateway は影響を受けません。 Apigee Edge Cloud Apigee Edge Cloud はこの脆弱性の影響を受けません。必要な対策 Apigee X 2023 年 11 月 3 日更新: 2023 年 10 月 13 日にリリースされた Apigee X インスタンスに対する更新により、この脆弱性に対処しました。詳細については、リリースノートをご覧ください。 Apigee ハイブリッド Apigee ハイブリッドのお客様は、次のいずれかのパッチバージョンにアップグレードする必要があります。 v1.10.3-hotfix.2。2023 年 10 月 13 日（金曜日）リリース v1.9.4-hotfix.1。2023 年 10 月 13 日（金曜日）リリース Apigee Edge for Private Cloud Apigee Edge for Private Cloud のユーザーは、Edge for Private Cloud の既知の問題の手順に沿って、公開されたコンポーネントに対して HTTP/2 を明示的に無効にできます。これらのパッチで対処される脆弱性脆弱性 CVE-2023-44487 は Apigee API 管理機能の DoS につながる可能性があります。	高	CVE-2023-44487

説明

重大度

メモ

2023 年 11 月 3 日更新: Apigee Edge for Private Cloud の既知の問題を追加しました。

先ごろ、サービス拒否攻撃（DoS）の脆弱性が HTTP/2 プロトコル（CVE-2023-44487）の複数の実装で発見されました。これには、Apigee X と Apigee ハイブリッドで使用されている Apigee Ingress（Anthos Service Mesh）サービスも含まれます。この脆弱性により、Apigee API 管理機能の DoS が発生する可能性があります。

影響を受けるプロダクト

Apigee X

Google Cloud ネットワークロードバランサ（レイヤ 4）またはカスタムのレイヤ 4 ロードバランサ経由でアクセス可能な Apigee X のデプロイが影響を受けます。すべての Apigee X インスタンスに修正プログラムが適用されました。
Apigee ハイブリッド

HTTP/2 リクエストの Apigee Ingress への到達を許可している Apigee ハイブリッドインスタンスが影響を受けます。Apigee ハイブリッド Ingress の前に配置されているロードバランサで、HTTP/2 リクエストの Apigee Ingress サービスへの到達が許可されているかどうかを確認する必要があります。
Apigee Edge for Private Cloud

Edge for Private Cloud ルーターと管理サーバーのコンポーネントはインターネットに公開されているため、脆弱になる可能性があります。HTTP/2 は、Edge for Private Cloud のその他の Edge 固有のコンポーネントの管理ポートで有効になっていますが、これらのコンポーネントはインターネットに公開されていません。Cassandra や Zookeeper などの Edge 以外のコンポーネントでは、HTTP/2 は有効になっていません。Edge for Private Cloud の既知の問題の手順に沿って、Edge for Private Cloud の脆弱性に対処することをおすすめします。

影響を受けないプロダクト

Apigee X

Google Cloud アプリケーションロードバランサ（レイヤ 7）経由でのみアクセスされる Apigee X インスタンスは影響を受けません。これには、gRPC プロキシに対して HTTP/2 が有効になっているデプロイも含まれます。
Google Cloud API Gateway

Google Cloud API Gateway は影響を受けません。
Apigee Edge Cloud

Apigee Edge Cloud はこの脆弱性の影響を受けません。

必要な対策

Apigee X

2023 年 11 月 3 日更新: 2023 年 10 月 13 日にリリースされた Apigee X インスタンスに対する更新により、この脆弱性に対処しました。詳細については、リリースノートをご覧ください。
Apigee ハイブリッド

Apigee ハイブリッドのお客様は、次のいずれかのパッチバージョンにアップグレードする必要があります。
- v1.10.3-hotfix.2。2023 年 10 月 13 日（金曜日）リリース
- v1.9.4-hotfix.1。2023 年 10 月 13 日（金曜日）リリース
Apigee Edge for Private Cloud

Apigee Edge for Private Cloud のユーザーは、Edge for Private Cloud の既知の問題の手順に沿って、公開されたコンポーネントに対して HTTP/2 を明示的に無効にできます。

これらのパッチで対処される脆弱性

脆弱性 CVE-2023-44487 は Apigee API 管理機能の DoS につながる可能性があります。

高

CVE-2023-44487