La section suivante décrit tous les bulletins de sécurité liés à Apigee.
Pour recevoir les derniers bulletins de sécurité, effectuez l'une des opérations suivantes :
- Ajoutez l'URL de cette page à votre lecteur de flux.
- Ajoutez directement l'URL du flux à votre lecteur de flux :
https://cloud.google.com/feeds/apigee-security-bulletins.xml
.
GCP-2024-040
Publié : 2024-07-02
Cloud public Edge
Description | Gravité | Remarques |
---|---|---|
Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment détectée dans OpenSSH. Cette faille exploite une condition de concurrence qui pourrait permettre d'accéder à une interface système distante, permettant ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, Apigee Edge pour le cloud public n'est pas exploitable et des mesures d'atténuation sont en place. Même si cette faille CVE n'est pas exploitable, Apigee met à niveau les charges de travail pour corriger la faille CVE ci-dessus. Que dois-je faire ? Aucune tâche n'est requise de la part des utilisateurs d'Apigee. La correction des charges de travail sera effectuée dans les prochains jours, et le bulletin de sécurité sera mis à jour une fois l'application terminée. |
Critique |
Cloud privé Edge
Description | Gravité | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment détectée dans OpenSSH. Cette faille exploite une condition de concurrence qui pourrait permettre d'accéder à une interface système distante, permettant ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds de la VM. Les clients du cloud privé Edge possèdent et gèrent les VM/hôtes physiques sur lesquels le cloud privé Edge est déployé.
Que dois-je faire ? Vérifiez la version d'OpenSSH en exécutant la commande |
Critique |
Edge Microgateway
Description | Gravité | Remarques | ||||||||
---|---|---|---|---|---|---|---|---|---|---|
Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment détectée dans OpenSSH. Cette faille exploite une condition de concurrence qui pourrait permettre d'accéder à une interface système distante, permettant ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds de la VM. Les clients Edge Microgateway possèdent et gèrent les VM/hôtes physiques sur lesquels Edge Microgateway est déployé.
Que dois-je faire ? Veuillez vérifier la version d'OpenSSH à l'aide des commandes |
Critique |
Apigee
Description | Gravité | Remarques |
---|---|---|
Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment détectée dans OpenSSH. Cette faille exploite une condition de concurrence qui pourrait permettre d'accéder à une interface système distante, permettant ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, Apigee n'est pas exploitable et des mesures d'atténuation sont en place. Même si cette faille CVE n'est pas exploitable, Apigee met à niveau les charges de travail pour qu'elles répondent à la faille CVE-2024-6387. Que dois-je faire ? Aucune tâche n'est requise de la part des utilisateurs d'Apigee. Les correctifs pour les charges de travail seront appliqués dans les prochains jours, et le bulletin de sécurité sera mis à jour une fois les correctifs appliqués. Remarque : Si des groupes d'instance gérés sont déployés dans un projet client pour l'équilibrage de charge Northbound, en particulier InternalRouting (VPC) et ExternalRouting (MIG), vérifiez la version OpenSSH installée dessus. Si la version est vulnérable à la CVE, passez vous-même à la version 9.8p1 d'OpenSSH le 1er juillet 2024, car Apigee ne gère pas ces MIG. |
Critique |
Apigee hybrid
Description | Gravité | Remarques | ||||||||
---|---|---|---|---|---|---|---|---|---|---|
Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment détectée dans OpenSSH. Cette faille exploite une condition de concurrence qui pourrait permettre d'accéder à un shell distant, permettant ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, les images hybrides ne sont pas vulnérables, car OpenSSH n'est empaqueté dans aucune des images de conteneurs hybrides. Toutefois, si votre système d'exploitation hôte/de nœud GKE s'exécute avec les versions vulnérables d'OpenSSH ci-dessous, vos clusters hybrides seront exploitables.
Que dois-je faire ? Ce problème a été résolu dans le bulletin de sécurité du service client Google Cloud GCP-2024-040. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :
|
Critique |
GCP-2024-006
Publié : 2024-2-5
Description | Gravité | Remarques |
---|---|---|
Lorsqu'un proxy de gestion d'API Apigee se connecte à un point de terminaison cible ou à un serveur cible, le proxy n'effectue pas de validation du nom d'hôte pour le certificat présenté par défaut par le point de terminaison cible ou le serveur cible. Si la validation du nom d'hôte n'est pas activée à l'aide de l'une des options suivantes, les proxys Apigee se connectant à un point de terminaison cible ou à un serveur cible peuvent courir le risque d'une attaque MITM ("man in the middle") par un utilisateur autorisé. Pour en savoir plus, consultez la page Configurer TLS de la périphérie au backend (cloud et cloud privé). Produits concernés Les déploiements de proxy Apigee sur les plates-formes Apigee suivantes sont concernés :
Que dois-je faire ? Les clients peuvent utiliser l'une des options suivantes pour activer cette validation : Option 1 : Ajouter une configuration à votre proxy Vous pouvez activer la validation de votre point de terminaison cible ou de votre serveur cible en ajoutant une configuration <HTTPTargetConnection>
<SSLInfo>
<Enabled>true</Enabled>
<TrustStore>ref://mytruststoreref</TrustStore>
<CommonName>*.example.com</CommonName>
</SSLInfo>
<URL>https://my.example.com/</URL>
</HTTPTargetConnection>
Si cette configuration est présente dans l'élément Apigee recommande cette approche. Vous pouvez tester les proxys individuellement pour vérifier que la validation fonctionne comme prévu, en minimisant la perturbation potentielle du trafic. Pour en savoir plus sur la manière de tester la validation du nom d'hôte dans vos proxys et l'affichage des erreurs, consultez la page Utiliser l'outil Trace. Option 2 : Définir une option au niveau de l'organisation Vous pouvez définir une option au niveau de l'organisation Apigee pour activer la validation du nom d'hôte pour tous les proxys et cibles déployés dans votre organisation. Si l'option Remarque : Bien que cette option puisse vous aider à activer la fonctionnalité dans l'ensemble de l'organisation, des échecs de validation du nom d'hôte peuvent se produire si vos cibles ne présentent pas les certificats attendus.
Apigee recommande d'implémenter cette modification en premier lieu dans des environnements hors production, pour s'assurer que la validation fonctionne comme prévu et n'entraîne pas d'interruptions en production. Si la validation du nom d'hôte échoue pour une cible, le message d'erreur suivant est renvoyé : {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}} |
Élevée |
GCP-2023-032
Publié : 2023-10-13
Mise à jour : 03-11-2023
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 03/11/2023 : ajout du problème connu pour Apigee Edge pour le cloud privé. Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le service Apigee Ingress (Cloud Service Mesh) utilisé par Apigee X et Apigee hybrid. La faille pourrait entraîner un déni de service de la fonctionnalité de gestion d'API Apigee. Produits concernés
Produits non concernés
Que dois-je faire ?
Quelles failles ces correctifs permettent-ils de résoudre ? La faille, CVE-2023-44487, peut entraîner une attaque DoS de la fonctionnalité de gestion des API Apigee. |
Élevée | CVE-2023-44487 |