Sicherheitsbulletins

Im Folgenden werden alle Sicherheitsbulletins im Zusammenhang mit Apigee beschrieben.

Führen Sie einen der folgenden Schritte aus, um die neuesten Sicherheitsbulletins zu erhalten:

Fügen Sie Ihrem Feedreader die URL dieser Seite hinzu.
Fügen Sie die Feed-URL direkt Ihrem Feed-Reader hinzu: https://cloud.google.com/feeds/apigee-security-bulletins.xml

GCP-2024-040

Veröffentlicht: 2.7.2024

Edge Public Cloud

Beschreibung	Schweregrad	Hinweise
Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer erhalten dadurch Root-Zugriff auf GKE-Knoten. Zum Zeitpunkt der Veröffentlichung kann Apigee Edge for Public Cloud nicht ausgenutzt werden und es gibt Sicherheitsmaßnahmen. Obwohl dieses CVE nicht ausgenutzt werden kann, wird Apigee die Arbeitslasten aktualisieren, um das oben genannte CVE zu beheben. Was soll ich tun? Von Apigee-Nutzern ist keine Aktion erforderlich. Das Patchen von Arbeitslasten wird in den nächsten Tagen durchgeführt und das Sicherheitsbulletin wird aktualisiert, sobald der Patch abgeschlossen ist.	Kritisch

Beschreibung

Schweregrad

Hinweise

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer erhalten dadurch Root-Zugriff auf GKE-Knoten. Zum Zeitpunkt der Veröffentlichung kann Apigee Edge for Public Cloud nicht ausgenutzt werden und es gibt Sicherheitsmaßnahmen.

Obwohl dieses CVE nicht ausgenutzt werden kann, wird Apigee die Arbeitslasten aktualisieren, um das oben genannte CVE zu beheben.

Was soll ich tun?

Von Apigee-Nutzern ist keine Aktion erforderlich.

Das Patchen von Arbeitslasten wird in den nächsten Tagen durchgeführt und das Sicherheitsbulletin wird aktualisiert, sobald der Patch abgeschlossen ist.

Kritisch

Edge Private Cloud

Beschreibung Schweregrad

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann. Angreifer erhalten dadurch Root-Zugriff auf VM-Knoten. Edge Private Cloud-Kunden sind Inhaber der und Verwalten die VMs/physischen Hosts, auf denen Edge Private Cloud bereitgestellt wird.

Version	Auswirkungen
OpenSSH < 4.4p1	Anfällig
4.4p1 <= OpenSSH < 8.5p1	Nicht anfällig
8.5p1 <= OpenSSH < 9.8p1	Anfällig

Was soll ich tun?

Prüfen Sie die OpenSSH-Version mit dem Befehl ssh -V und validieren Sie die OpenSSH-Version. Wenn Sie eine betroffene OpenSSH-Version verwenden, aktualisieren Sie auf eine Version, die für dieses CVE NICHT anfällig ist. OpenSSH hat am 1. Juli 2024 9.8p1 veröffentlicht.

Kritisch

Edge-Mikrogateway

Beschreibung Schweregrad Hinweise

Version	Auswirkungen
OpenSSH < 4.4p1	Anfällig
4.4p1 <= OpenSSH < 8.5p1	Nicht anfällig
8.5p1 <= OpenSSH < 9.8p1	Anfällig

Was soll ich tun?

Überprüfen Sie die OpenSSH-Version, indem Sie die Befehle ssh -V verwenden und die OpenSSH-Version prüfen. Wenn Sie eine der betroffenen OpenSSH-Versionen verwenden, aktualisieren Sie bitte auf eine Version, die NICHT anfällig für diese CVE-Sicherheitslücke ist. OpenSSH hat am 1. Juli 2024 9.8p1 veröffentlicht.

Kritisch

Apigee

Beschreibung	Schweregrad	Hinweise
Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer erhalten dadurch Root-Zugriff auf GKE-Knoten. Zum Zeitpunkt der Veröffentlichung ist Apigee nicht ausnutzbar und es gibt Maßnahmen zur Risikominimierung. Obwohl dieses CVE nicht ausgenutzt werden kann, aktualisiert Apigee die Arbeitslasten, um CVE-2024-6387 zu beheben. Was soll ich tun? Von Apigee-Nutzern ist keine Aktion erforderlich. Das Patchen für Arbeitslasten wird in den nächsten Tagen durchgeführt und das Sicherheitsbulletin wird aktualisiert, sobald das Patching abgeschlossen ist. Hinweis: Wenn verwaltete Instanzgruppen in einem Kundenprojekt für das Northbound-Load-Balancing bereitgestellt werden, prüfen insbesondere InternalRouting (VPC) und ExternalRouting (MIG), welche OpenSSH-Version auf diesen installiert ist. Wenn die Version anfällig für CVE ist, aktualisieren Sie selbst auf die OpenSSH-Version 9.8p1, die am 1. Juli 2024 veröffentlicht wurde, da Apigee diese MIGs nicht verwaltet.	Kritisch

Beschreibung

Schweregrad

Hinweise

Obwohl dieses CVE nicht ausgenutzt werden kann, aktualisiert Apigee die Arbeitslasten, um CVE-2024-6387 zu beheben.

Was soll ich tun?

Von Apigee-Nutzern ist keine Aktion erforderlich. Das Patchen für Arbeitslasten wird in den nächsten Tagen durchgeführt und das Sicherheitsbulletin wird aktualisiert, sobald das Patching abgeschlossen ist.

Hinweis: Wenn verwaltete Instanzgruppen in einem Kundenprojekt für das Northbound-Load-Balancing bereitgestellt werden, prüfen insbesondere InternalRouting (VPC) und ExternalRouting (MIG), welche OpenSSH-Version auf diesen installiert ist. Wenn die Version anfällig für CVE ist, aktualisieren Sie selbst auf die OpenSSH-Version 9.8p1, die am 1. Juli 2024 veröffentlicht wurde, da Apigee diese MIGs nicht verwaltet.

Kritisch

Apigee hybrid

Beschreibung

Schweregrad

Hinweise

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann. Angreifer erhalten dadurch Root-Zugriff auf GKE-Knoten. Zum Zeitpunkt der Veröffentlichung sind Hybrid-Images nicht anfällig, da OpenSSH nicht in eines der Hybrid-Container-Images verpackt ist. Wenn Ihr Host-/GKE-Knotenbetriebssystem jedoch mit den folgenden anfälligen Versionen von OpenSSH ausgeführt wird, können Ihre Hybridcluster ausgenutzt werden.

Version	Auswirkungen
OpenSSH < 4.4p1	Anfällig
4.4p1 <= OpenSSH < 8.5p1	Nicht anfällig
8.5p1 <= OpenSSH < 9.8p1	Anfällig

Was soll ich tun?

Dieses Problem wurde im Google Cloud Customer Care-Sicherheitsbulletin GCP-2024-040 behandelt.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

GKE-Sicherheitsbulletin
GKE auf VMware-Sicherheitsbulletin
GKE auf AWS-Sicherheitsbulletin
GKE on Azure-Sicherheitsbulletin
GKE on Bare Metal-Sicherheitsbulletin
AWS: Es gibt noch kein Update (Stand: 1. Juli 2024 um 14:22 Uhr UTC-8). Weitere Informationen finden Sie auf deren Bulletinseite für CVE-2024-6387.
Azure: Es gibt noch kein Update (Stand 1. Juli 2024 um 14:22 Uhr PST). Weitere Informationen finden Sie auf deren Bulletinseite für CVE-2024-6387.
OpenShift: OpenSSH-Server (sshd) [CVE-2024-6387] | Red Hat-Kundenportal

Kritisch

GCP-2024-006

Veröffentlicht: 5.2.2024

Beschreibung Schweregrad Hinweise

Beschreibung	Schweregrad	Hinweise
Wenn ein Apigee API-Verwaltungsproxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt, führt der Proxy standardmäßig keine Hostnamenvalidierung für Hostnamenüberprüfung für das vom Zielendpunkt oder Zielserver bereitgestellte Zertifikat durch. Wenn die Validierung des Hostnamens mit einer der folgenden Optionen nicht aktiviert ist, können Apigee-Proxys, die eine Verbindung zu einem Zielendpunkt oder Zielserver herstellen, dem Risiko eines Man-in-the-Middle-Angriffs durch einen autorisierten Nutzer schaden. Weitere Informationen finden Sie unter TLS von Edge mit dem Back-End konfigurieren (Cloud und Private Cloud). Betroffene Produkte Apigee-Proxy-Bereitstellungen auf den folgenden Apigee-Plattformen sind betroffen: Apigee Edge for Public Cloud Apigee Edge for Private Cloud Was soll ich tun? Kunden können eine der folgenden Optionen verwenden, um diese Validierung zu aktivieren: Option 1: Dem Proxy eine Konfiguration hinzufügen Sie können die Validierung Ihres Zielendpunkts oder Zielservers aktivieren, indem Sie dem Abschnitt `SSLInfo` des Elements `<HTTPTargetConnection>` Ihrer Proxy-Konfiguration eine `<CommonName>`-Konfiguration hinzufügen, wie hier gezeigt: <HTTPTargetConnection> <SSLInfo> <Enabled>true</Enabled> <TrustStore>ref://mytruststoreref</TrustStore> <CommonName>.example.com</CommonName> </SSLInfo> <URL>https://my.example.com/</URL> </HTTPTargetConnection> Wenn diese Konfiguration im Element `<HTTPTargetConnection>` Ihrer Proxykonfiguration vorhanden ist, verwendet Apigee den in `<CommonName>` angegebenen Wert zur Validierung des Hostnamens. In diesem Feld können Platzhalter verwendet werden. Apigee empfiehlt diesen Ansatz. Sie können Proxys einzeln testen, um zu prüfen, ob die Validierung wie vorgesehen funktioniert und der Traffic dabei geringfügig unterbrochen wird. Weitere Informationen zum Testen der Validierung des Hostnamens in Ihren Proxys und zum Aufrufen von Fehlern finden Sie unter Trace-Tool verwenden. Option 2: Kennzeichnung auf Organisationsebene festlegen* Sie können ein Apigee-Flag auf Organisationsebene festlegen, um die Validierung des Hostnamens für alle bereitgestellten Proxys und Ziele in Ihrer Organisation zu aktivieren. Wenn das Flag `features.strictSSLEnforcement` in den Organisationsattributen auf `true` gesetzt ist, wird die Validierung des Hostnamens jedes Mal erzwungen, wenn der Proxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt. Hinweis: Mit dieser Option können Sie das Feature in der gesamten Organisation aktivieren. Bei der Validierung des Hostnamens können jedoch Fehler auftreten, wenn Ihre Ziele nicht die erwarteten Zertifikate enthalten. Für Apigee Edge for Public Cloud-Bereitstellungen: Wenden Sie sich an den Google Cloud-Support, damit das Flag `features.strictSSLEnforcement` in den Organisationsattributen auf `true` gesetzt wird. Hinweis: Wenn Sie dieses Flag aktivieren, wird die SSL-Prüfung für alle Umgebungen einer Organisation und alle in diesen Umgebungen bereitgestellten Proxys erzwungen. Für Bereitstellungen von Apigee Edge for Private Cloud : Das Flag `features.strictSSLEnforcement` kann vom Organisations- oder Systemadministrator auf `true` gesetzt werden. Weitere Informationen zum Festlegen des Flags finden Sie unter Organisationsattribute aktualisieren. Hinweis: Achten Sie beim Aktualisieren von Flags auf Organisationsebene mithilfe der Organizations API darauf, in der POST-Anfrage alle vorhandenen Flags anzugeben, damit frühere Konfigurationseinstellungen nicht überschrieben werden. Nachdem das Flag festgelegt wurde, muss jeder Message Processor einzeln neu gestartet werden, damit die Änderung wirksam wird. Verwenden Sie den folgenden Befehl: apigee-service edge-message-processor restart Verwenden Sie dieselbe Organizations API, um das Flag auf `false` zu setzen, und starten Sie dann jeden Nachrichtenprozessor neu. Hinweis: Wenn Sie dieses Flag aktivieren, wird die SSL-Prüfung für alle Umgebungen einer Organisation und alle in diesen Umgebungen bereitgestellten Proxys erzwungen. Wenn `<IgnoreValidationErrors>` jedoch auf `true` gesetzt ist, werden alle erkannten Validierungsfehler ignoriert. Apigee empfiehlt, diese Änderung zuerst in Nicht-Produktionsumgebungen zu implementieren, um sicherzustellen, dass die Validierung wie beabsichtigt funktioniert und nicht zu Produktionsausfällen führt. Wenn die Validierung des Hostnamens für Ziele fehlschlägt, wird die folgende Fehlermeldung zurückgegeben: {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}	Hoch

Wenn ein Apigee API-Verwaltungsproxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt, führt der Proxy standardmäßig keine Hostnamenvalidierung für Hostnamenüberprüfung für das vom Zielendpunkt oder Zielserver bereitgestellte Zertifikat durch. Wenn die Validierung des Hostnamens mit einer der folgenden Optionen nicht aktiviert ist, können Apigee-Proxys, die eine Verbindung zu einem Zielendpunkt oder Zielserver herstellen, dem Risiko eines Man-in-the-Middle-Angriffs durch einen autorisierten Nutzer schaden. Weitere Informationen finden Sie unter TLS von Edge mit dem Back-End konfigurieren (Cloud und Private Cloud).

Betroffene Produkte

Apigee-Proxy-Bereitstellungen auf den folgenden Apigee-Plattformen sind betroffen:

Apigee Edge for Public Cloud
Apigee Edge for Private Cloud

Was soll ich tun?

Kunden können eine der folgenden Optionen verwenden, um diese Validierung zu aktivieren:

Option 1: Dem Proxy eine Konfiguration hinzufügen

Sie können die Validierung Ihres Zielendpunkts oder Zielservers aktivieren, indem Sie dem Abschnitt SSLInfo des Elements <HTTPTargetConnection> Ihrer Proxy-Konfiguration eine <CommonName>-Konfiguration hinzufügen, wie hier gezeigt:

<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

Wenn diese Konfiguration im Element <HTTPTargetConnection> Ihrer Proxykonfiguration vorhanden ist, verwendet Apigee den in <CommonName> angegebenen Wert zur Validierung des Hostnamens. In diesem Feld können Platzhalter verwendet werden.

Apigee empfiehlt diesen Ansatz. Sie können Proxys einzeln testen, um zu prüfen, ob die Validierung wie vorgesehen funktioniert und der Traffic dabei geringfügig unterbrochen wird. Weitere Informationen zum Testen der Validierung des Hostnamens in Ihren Proxys und zum Aufrufen von Fehlern finden Sie unter Trace-Tool verwenden.

Option 2: Kennzeichnung auf Organisationsebene festlegen

Sie können ein Apigee-Flag auf Organisationsebene festlegen, um die Validierung des Hostnamens für alle bereitgestellten Proxys und Ziele in Ihrer Organisation zu aktivieren. Wenn das Flag features.strictSSLEnforcement in den Organisationsattributen auf true gesetzt ist, wird die Validierung des Hostnamens jedes Mal erzwungen, wenn der Proxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt.

Hinweis: Mit dieser Option können Sie das Feature in der gesamten Organisation aktivieren. Bei der Validierung des Hostnamens können jedoch Fehler auftreten, wenn Ihre Ziele nicht die erwarteten Zertifikate enthalten.

Für Apigee Edge for Public Cloud-Bereitstellungen:
Wenden Sie sich an den Google Cloud-Support, damit das Flag features.strictSSLEnforcement in den Organisationsattributen auf true gesetzt wird.

Hinweis: Wenn Sie dieses Flag aktivieren, wird die SSL-Prüfung für alle Umgebungen einer Organisation und alle in diesen Umgebungen bereitgestellten Proxys erzwungen.
Für Bereitstellungen von Apigee Edge for Private Cloud :
Das Flag features.strictSSLEnforcement kann vom Organisations- oder Systemadministrator auf true gesetzt werden. Weitere Informationen zum Festlegen des Flags finden Sie unter Organisationsattribute aktualisieren.

Hinweis: Achten Sie beim Aktualisieren von Flags auf Organisationsebene mithilfe der Organizations API darauf, in der POST-Anfrage alle vorhandenen Flags anzugeben, damit frühere Konfigurationseinstellungen nicht überschrieben werden.

Nachdem das Flag festgelegt wurde, muss jeder Message Processor einzeln neu gestartet werden, damit die Änderung wirksam wird. Verwenden Sie den folgenden Befehl:
```
apigee-service edge-message-processor restart
```
Verwenden Sie dieselbe Organizations API, um das Flag auf false zu setzen, und starten Sie dann jeden Nachrichtenprozessor neu.

Hinweis: Wenn Sie dieses Flag aktivieren, wird die SSL-Prüfung für alle Umgebungen einer Organisation und alle in diesen Umgebungen bereitgestellten Proxys erzwungen. Wenn <IgnoreValidationErrors> jedoch auf true gesetzt ist, werden alle erkannten Validierungsfehler ignoriert.

Apigee empfiehlt, diese Änderung zuerst in Nicht-Produktionsumgebungen zu implementieren, um sicherzustellen, dass die Validierung wie beabsichtigt funktioniert und nicht zu Produktionsausfällen führt. Wenn die Validierung des Hostnamens für Ziele fehlschlägt, wird die folgende Fehlermeldung zurückgegeben:

{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

Hoch

GCP-2023-032

Veröffentlicht: 23. Oktober 2023

Aktualisiert: 3. November 2023

Beschreibung	Schweregrad	Hinweise
Update vom 3. November 2023: Ein bekanntes Problem für Apigee Edge for Private Cloud wurde hinzugefügt. Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Apigee X und Apigee Hybrid verwendete Apigee Ingress-Dienst (Cloud Service Mesh). Die Sicherheitslücke könnte zu einem DoS der Apigee API-Verwaltungsfunktion führen. Betroffene Produkte Apigee X Bereitstellungen von Apigee X, auf die über einen Google Cloud-Netzwerk-Load-Balancer (Layer 4) oder einen benutzerdefinierten Layer 4-Load-Balancer zugegriffen werden kann, sind betroffen. Ein Hotfix wurde auf alle Apigee X-Instanzen angewendet. Apigee Hybrid Apigee Hybrid-Instanzen, die es HTTP/2-Anfragen erlauben, Apigee Ingress zu erreichen, sind betroffen. Kunden sollten prüfen, ob die Load Balancer, die auf ihre Apigee Hybrid-Ingress-Ressourcen zugreifen, HTTP/2-Anfragen erlauben, den Apigee-Ingress-Dienst zu erreichen. Apigee Edge for Private Cloud Die Komponenten des Routers und Verwaltungsservers von Edge for Private Cloud sind über das Internet zugänglich und können anfällig sein. Obwohl HTTP/2 auf dem Verwaltungsport anderer Edge-spezifischer Komponenten von Edge for Private Cloud aktiviert ist, ist keine dieser Komponenten im Internet zugänglich. Bei Nicht-Edge-Komponenten wie Cassandra, Zookeeper und anderen ist HTTP/2 nicht aktiviert. Führen Sie die Schritte unter Bekannte Probleme mit Edge for Private Cloud aus, um die Sicherheitslücke von Edge for Private Cloud zu beheben. Nicht betroffene Produkte Apigee X Apigee X-Instanzen, auf die nur über Google Cloud-Application-Load-Balancer (Layer 7) zugegriffen wird, sind nicht betroffen. Dazu gehören auch Bereitstellungen, bei denen HTTP/2 für gRPC-Proxys aktiviert ist. Google Cloud API Gateway Google Cloud API Gateway ist nicht betroffen. Apigee Edge-Cloud Apigee Edge Cloud ist von dieser Sicherheitslücke nicht betroffen. Was soll ich tun? Apigee X Update vom 3. November 2023: Die Sicherheitslücke wurde über das Update auf Apigee X-Instanzen behoben, das am 13. Oktober 2023 veröffentlicht wurde. Weitere Einzelheiten finden Sie in den Versionshinweisen. Apigee Hybrid Apigee Hybrid-Kunden müssen ein Upgrade auf eine der folgenden Patchversionen ausführen: v1.10.3-hotfix.2, die am Freitag, den 13. Oktober 2023 veröffentlicht wurde v1.9.4-hotfix.1, die am Freitag, den 13. Oktober 2023 veröffentlicht wurde. Apigee Edge for Private Cloud Nutzer von Apigee Edge for Private Cloud können die Anleitungen unter Bekannte Probleme mit Edge for Private Cloud befolgen, um HTTP/2 für bereitgestellte Komponenten explizit zu deaktivieren. Welche Sicherheitslücken werden durch diese Patches behoben? Die Sicherheitslücke CVE-2023-44487 könnte zu einem DoS von Apigee API-Verwaltungsfunktionen führen.	Hoch	CVE-2023-44487

Beschreibung

Schweregrad

Hinweise

Update vom 3. November 2023: Ein bekanntes Problem für Apigee Edge for Private Cloud wurde hinzugefügt.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Apigee X und Apigee Hybrid verwendete Apigee Ingress-Dienst (Cloud Service Mesh). Die Sicherheitslücke könnte zu einem DoS der Apigee API-Verwaltungsfunktion führen.

Betroffene Produkte

Apigee X

Bereitstellungen von Apigee X, auf die über einen Google Cloud-Netzwerk-Load-Balancer (Layer 4) oder einen benutzerdefinierten Layer 4-Load-Balancer zugegriffen werden kann, sind betroffen. Ein Hotfix wurde auf alle Apigee X-Instanzen angewendet.
Apigee Hybrid

Apigee Hybrid-Instanzen, die es HTTP/2-Anfragen erlauben, Apigee Ingress zu erreichen, sind betroffen. Kunden sollten prüfen, ob die Load Balancer, die auf ihre Apigee Hybrid-Ingress-Ressourcen zugreifen, HTTP/2-Anfragen erlauben, den Apigee-Ingress-Dienst zu erreichen.
Apigee Edge for Private Cloud

Die Komponenten des Routers und Verwaltungsservers von Edge for Private Cloud sind über das Internet zugänglich und können anfällig sein. Obwohl HTTP/2 auf dem Verwaltungsport anderer Edge-spezifischer Komponenten von Edge for Private Cloud aktiviert ist, ist keine dieser Komponenten im Internet zugänglich. Bei Nicht-Edge-Komponenten wie Cassandra, Zookeeper und anderen ist HTTP/2 nicht aktiviert. Führen Sie die Schritte unter Bekannte Probleme mit Edge for Private Cloud aus, um die Sicherheitslücke von Edge for Private Cloud zu beheben.

Nicht betroffene Produkte

Apigee X

Apigee X-Instanzen, auf die nur über Google Cloud-Application-Load-Balancer (Layer 7) zugegriffen wird, sind nicht betroffen. Dazu gehören auch Bereitstellungen, bei denen HTTP/2 für gRPC-Proxys aktiviert ist.
Google Cloud API Gateway

Google Cloud API Gateway ist nicht betroffen.
Apigee Edge-Cloud

Apigee Edge Cloud ist von dieser Sicherheitslücke nicht betroffen.

Was soll ich tun?

Apigee X

Update vom 3. November 2023: Die Sicherheitslücke wurde über das Update auf Apigee X-Instanzen behoben, das am 13. Oktober 2023 veröffentlicht wurde. Weitere Einzelheiten finden Sie in den Versionshinweisen.
Apigee Hybrid

Apigee Hybrid-Kunden müssen ein Upgrade auf eine der folgenden Patchversionen ausführen:
- v1.10.3-hotfix.2, die am Freitag, den 13. Oktober 2023 veröffentlicht wurde
- v1.9.4-hotfix.1, die am Freitag, den 13. Oktober 2023 veröffentlicht wurde.
Apigee Edge for Private Cloud

Nutzer von Apigee Edge for Private Cloud können die Anleitungen unter Bekannte Probleme mit Edge for Private Cloud befolgen, um HTTP/2 für bereitgestellte Komponenten explizit zu deaktivieren.

Welche Sicherheitslücken werden durch diese Patches behoben?

Die Sicherheitslücke CVE-2023-44487 könnte zu einem DoS von Apigee API-Verwaltungsfunktionen führen.

Hoch

CVE-2023-44487