フィードバックを送信
セキュリティに関する公開情報
コレクションでコンテンツを整理
必要に応じて、コンテンツの保存と分類を行います。
ここでは、Apigee に関連するすべてのセキュリティに関する公開情報について説明します。
最新のセキュリティに関する公開情報を取得するには、次のいずれかを行います。
このページの URL をフィード リーダー に追加する
フィードの URL(https://cloud.google.com/feeds/apigee-security-bulletins.xml
)をフィード リーダーに直接追加する
GCP-2023-032
公開日: 2023 年 10 月 13 日
更新日時: 2023 年 11 月 3 日
説明
重大度
メモ
2023 年 11 月 3 日更新: Apigee Edge for Private Cloud の既知の問題 を追加しました。
先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました。これには、Apigee X と Apigee ハイブリッドで使用されている Apigee Ingress(Anthos Service Mesh)サービスも含まれます。この脆弱性により、Apigee API 管理機能の DoS が発生する可能性があります。
影響を受けるプロダクト
Apigee X
Google Cloud ネットワーク ロードバランサ(レイヤ 4)またはカスタムのレイヤ 4 ロードバランサ経由でアクセス可能な Apigee X のデプロイが影響を受けます。すべての Apigee X インスタンスに修正プログラムが適用されました。
Apigee ハイブリッド
HTTP/2 リクエストの Apigee Ingress への到達を許可している Apigee ハイブリッド インスタンスが影響を受けます。Apigee ハイブリッド Ingress の前に配置されているロードバランサで、HTTP/2 リクエストの Apigee Ingress サービスへの到達が許可されているかどうかを確認する必要があります。
Apigee Edge for Private Cloud
Edge for Private Cloud ルーターと管理サーバーのコンポーネントはインターネットに公開されているため、脆弱になる可能性があります。HTTP/2 は、Edge for Private Cloud のその他の Edge 固有のコンポーネントの管理ポートで有効になっていますが、これらのコンポーネントはインターネットに公開されていません。Cassandra や Zookeeper などの Edge 以外のコンポーネントでは、HTTP/2 は有効になっていません。Edge for Private Cloud の既知の問題 の手順に沿って、Edge for Private Cloud の脆弱性に対処することをおすすめします。
影響を受けないプロダクト
Apigee X
Google Cloud アプリケーション ロードバランサ(レイヤ 7)経由でのみアクセスされる Apigee X インスタンスは影響を受けません。これには、gRPC プロキシに対して HTTP/2 が有効になっているデプロイも含まれます。
Google Cloud API Gateway
Google Cloud API Gateway は影響を受けません。
Apigee Edge Cloud
Apigee Edge Cloud はこの脆弱性の影響を受けません。
必要な対策
Apigee X
2023 年 11 月 3 日更新: 2023 年 10 月 13 日にリリースされた Apigee X インスタンスに対する更新により、この脆弱性に対処しました。詳細については、リリースノート をご覧ください。
Apigee ハイブリッド
Apigee ハイブリッドのお客様は、次のいずれかのパッチ バージョンにアップグレードする必要があります。
Apigee Edge for Private Cloud
Apigee Edge for Private Cloud のユーザーは、Edge for Private Cloud の既知の問題 の手順に沿って、公開されたコンポーネントに対して HTTP/2 を明示的に無効にできます。
これらのパッチで対処される脆弱性
脆弱性 CVE-2023-44487 は Apigee API 管理機能の DoS につながる可能性があります。
高
CVE-2023-44487
フィードバックを送信
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンス により使用許諾されます。コードサンプルは Apache 2.0 ライセンス により使用許諾されます。詳しくは、Google Developers サイトのポリシー をご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2024-03-25 UTC。
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻訳に関する問題"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"その他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"わかりやすい"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"問題の解決に役立った"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"その他"
}]
ご意見をお聞かせください