A continuación, se describen todos los boletines de seguridad relacionados con Apigee.
Para recibir los boletines de seguridad más recientes, realiza una de las siguientes acciones:
- Agrega la URL de esta página a tu lector de feeds.
- Agrega la URL del feed directamente a tu lector de feeds:
https://cloud.google.com/feeds/apigee-security-bulletins.xml
GCP-2024-006
Publicado: 5 de febrero de 2024
Descripción | Gravedad | Notas |
---|---|---|
Cuando un proxy de administración de API de Apigee se conecta a un extremo de destino o a un servidor de destino, el proxy no realiza la validación del nombre de host para el certificado que presenta el extremo o el servidor de destino de forma predeterminada. Si la validación del nombre de host no está habilitada a través de una de las siguientes opciones, los proxies de Apigee que se conectan a un extremo o un servidor de destino pueden estar en riesgo de que un usuario autorizado reciba un ataque de intermediario. Para obtener más información, consulta Configura TLS del perímetro al backend (nube y nube privada). Productos afectados: Las implementaciones de proxies de Apigee en las siguientes plataformas de Apigee se ven afectadas:
¿Qué debo hacer? Los clientes pueden usar cualquiera de las siguientes opciones para habilitar esta validación: Opción 1: Agrega una configuración a tu proxy Para habilitar la validación del extremo o servidor de destino, agrega una configuración de <HTTPTargetConnection>
<SSLInfo>
<Enabled>true</Enabled>
<TrustStore>ref://mytruststoreref</TrustStore>
<CommonName>*.example.com</CommonName>
</SSLInfo>
<URL>https://my.example.com/</URL>
</HTTPTargetConnection>
Si esta configuración está presente en el elemento Apigee recomienda este enfoque. Puedes probar los proxies de forma individual para confirmar que la validación se ejecuta según lo previsto, con una interrupción potencial mínima en el tráfico. Para obtener más información sobre cómo probar la validación del nombre de host en tus proxies y ver fallas, consulta Usa la herramienta de seguimiento. Opción 2: establece una marca a nivel de la organización Puedes configurar una marca a nivel de la organización de Apigee para habilitar la validación del nombre de host para todos los proxies y destinos implementados en tu organización. Si la marca Nota: Si bien esta opción puede ayudarte a habilitar la función en toda la organización, pueden ocurrir fallas en la validación del nombre de host si los destinos no presentan los certificados esperados.
Apigee recomienda implementar primero este cambio en entornos que no son de producción para garantizar que la validación funcione según lo previsto y no provoque interrupciones de la producción. En el caso de que la validación del nombre de host falle para algún destino, se muestra el siguiente mensaje de error: {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}} |
Alto |
GCP-2023-032
Publicado 13 de octubre 2023
Última actualización: 3 de noviembre de 2023
Descripción | Gravedad | Notas |
---|---|---|
Actualización del 3 de noviembre de 2023: Se agregó un problema conocido de Apigee Edge para la nube privada. Hace poco tiempo, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servicio de Ingress de Apigee (Anthos Service Mesh) que usó Apigee X y Apigee hybrid. La vulnerabilidad podría provocar un DoS de la funcionalidad de administración de API de Apigee. Productos afectados:
Productos no afectados
¿Qué debo hacer?
¿Qué vulnerabilidad tratan estos parches? La vulnerabilidad, CVE-2023-44487, podría generar un DoS de la funcionalidad de administración de API de Apigee. |
Alta | CVE-2023-44487 |