Sicherheitsbulletins

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

In diesem Bulletin werden potenzielle Sicherheitslücken beschrieben, die ausgenutzt werden könnten, wenn sie nicht in den JavaCallout- und PythonScript-Richtlinien berücksichtigt werden, die gefunden und behoben wurden. Diese Richtlinien können zu einer unbefugten Remote-Code-Ausführung (RCE) und einer Rechteausweitung in der Apigee-Laufzeitumgebung führen. Für diese möglichen Ausnutzungen ist der Zugriff von internen autorisierten Nutzern (Nutzer mit Berechtigung zum Bereitstellen von Proxys) erforderlich. Diese potenziellen Sicherheitslücken resultieren aus unzureichender Sandboxing-Technologie für Szenarien wie Zugriff durch Reflexion und Spoofing von Berechtigungsobjekten, um den Sicherheitsmanager zu umgehen.

Betroffene Produkte

Die Auswirkungen sind auf die JavaCallout- und PythonScript-Richtlinien beschränkt. Dazu gehören Bereitstellungen auf den folgenden Apigee-Plattformen:

• Apigee
• Apigee Edge for Public Cloud
• Apigee hybrid
• Apigee Edge for Private Cloud

Was soll ich tun?

Führen Sie für jedes betroffene Produkt die folgenden Schritte aus:

Apigee

Für Kunden, die die Google Cloud-Version von Apigee verwenden, sind keine Maßnahmen erforderlich. Sicherheitslücken wurden in der Apigee-Version 1-14-0-apigee-8 behoben.

Wenn das Release-Team das Release nicht für Ihre Organisationen bereitstellen kann, wenden sich entweder ein TAM oder ein Supportmitarbeiter an Sie, um alle betroffenen JavaCallout-Proxy-Bundles zu korrigieren.

Apigee hybrid

Sie müssen ein Upgrade auf eine der folgenden Sicherheitspatch-Releases durchführen:

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer erhalten dadurch Root-Zugriff auf GKE-Knoten. Zum Zeitpunkt der Veröffentlichung kann Apigee Edge for Public Cloud nicht ausgenutzt werden und es gibt Sicherheitsmaßnahmen.

Obwohl dieses CVE nicht ausgenutzt werden kann, wird Apigee die Arbeitslasten aktualisieren, um das oben genannte CVE zu beheben.

Was soll ich tun?

Von Apigee-Nutzern ist keine Aktion erforderlich.

Die Patches für Arbeitslasten werden in den kommenden Tagen bereitgestellt. Das Sicherheitsbulletin wird aktualisiert, sobald die Patches installiert wurden.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer Root-Zugriff auf VM-Knoten erhalten. Edge Private Cloud-Kunden sind Inhaber der und Verwalten die VMs/physischen Hosts, auf denen Edge Private Cloud bereitgestellt wird.

Was soll ich tun?

Überprüfen Sie die OpenSSH-Version, indem Sie den Befehl ssh -V verwenden und die OpenSSH-Version prüfen. Wenn Sie eine betroffene OpenSSH-Version verwenden, aktualisieren Sie sie auf eine Version, die NICHT anfällig für diese CVE ist. OpenSSH hat am 1. Juli 2024 die Version 9.8p1 veröffentlicht.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer erhalten dadurch Root-Zugriff auf VM-Knoten. Edge Microgateway-Kunden sind Inhaber der und Verwalten die VMs/physischen Hosts, auf denen Edge Microgateway bereitgestellt ist.

Was soll ich tun?

Überprüfen Sie die OpenSSH-Version, indem Sie die Befehle ssh -V verwenden und die OpenSSH-Version prüfen. Wenn Sie eine betroffene OpenSSH-Version verwenden, aktualisieren Sie sie auf eine Version, die NICHT anfällig für diese CVE ist. OpenSSH hat am 1. Juli 2024 die Version 9.8p1 veröffentlicht.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer erhalten dadurch Root-Zugriff auf GKE-Knoten. Zum Zeitpunkt der Veröffentlichung kann Apigee nicht ausgenutzt werden und es gibt Sicherheitsmaßnahmen.

Obwohl dieses CVE nicht ausgenutzt werden kann, wird Apigee die Arbeitslasten aktualisieren, um CVE-2024-6387 zu beheben.

Was soll ich tun?

Von Apigee-Nutzern ist keine Aktion erforderlich. Die Patches für Workloads werden in den kommenden Tagen bereitgestellt. Das Sicherheitsbulletin wird aktualisiert, sobald die Patches installiert wurden.

Hinweis: Wenn verwaltete Instanzgruppen in einem Kundenprojekt für das Northbound-Load-Balancing bereitgestellt werden, prüfen insbesondere InternalRouting (VPC) und ExternalRouting (MIG), welche OpenSSH-Version auf diesen installiert ist. Wenn die Version anfällig für die CVE ist, aktualisieren Sie sie selbst auf OpenSSH Version 9.8p1, die am 1. Juli 2024 veröffentlicht wurde, da diese MIGs nicht von Apigee verwaltet werden.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer erhalten dadurch Root-Zugriff auf GKE-Knoten. Zum Zeitpunkt der Veröffentlichung sind Hybrid-Images nicht anfällig, da OpenSSH in keinem der Hybrid-Container-Images enthalten ist. Wenn das Betriebssystem Ihres Hosts oder GKE-Knotens jedoch mit den folgenden angreifbaren Versionen von OpenSSH ausgeführt wird, können Ihre Hybridcluster manipuliert werden.

Was soll ich tun?

Dieses Problem wurde im Google Cloud Customer Care-Sicherheitsbulletin GCP-2024-040 behandelt.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin
• AWS: Es gibt noch keine Neuigkeiten (Stand: 1. Juli 2024, 14:22 Uhr (PST)). Weitere Informationen finden Sie auf deren Bulletinseite für CVE-2024-6387.
• Azure: Es gibt noch keine Aktualisierung (Stand: 1. Juli 2024, 14:22 Uhr (PST)). Weitere Informationen finden Sie auf deren Bulletinseite für CVE-2024-6387.
• OpenShift: OpenSSH-Server (sshd) [CVE-2024-6387] | Red Hat Customer Portal

Wenn ein Apigee API-Verwaltungsproxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt, führt der Proxy standardmäßig keine Hostnamenvalidierung für Hostnamenüberprüfung für das vom Zielendpunkt oder Zielserver bereitgestellte Zertifikat durch. Wenn die Hostnamenüberprüfung nicht mit einer der folgenden Optionen aktiviert ist, sind Apigee-Proxys, die eine Verbindung zu einem Zielendpunkt oder Zielserver herstellen, möglicherweise einem Man-in-the-Middle-Angriff durch einen autorisierten Nutzer ausgesetzt. Weitere Informationen finden Sie unter TLS von Edge mit dem Back-End konfigurieren (Cloud und Private Cloud).

Betroffene Produkte

Apigee-Proxy-Bereitstellungen auf den folgenden Apigee-Plattformen sind betroffen:

• Apigee Edge for Public Cloud
• Apigee Edge for Private Cloud

Was soll ich tun?

Kunden haben folgende Möglichkeiten, diese Bestätigung zu aktivieren:

Option 1: Proxy eine Konfiguration hinzufügen

Sie können die Validierung des Zielendpunkts oder Zielservers aktivieren, indem Sie dem Bereich SSLInfo des Elements <HTTPTargetConnection> in Ihrer Proxy-Konfiguration eine <CommonName>-Konfiguration hinzufügen, wie hier gezeigt:

<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

Wenn diese Konfiguration im <HTTPTargetConnection>-Element Ihrer Proxykonfiguration vorhanden ist, verwendet Apigee den in <CommonName> angegebenen Wert für die Validierung des Hostnamens. In diesem Feld können Platzhalter verwendet werden.

Apigee empfiehlt diesen Ansatz. Sie können Proxys einzeln testen, um sicherzustellen, dass die Validierung wie vorgesehen funktioniert, und dabei die Unterbrechung des Traffics so gering wie möglich halten. Weitere Informationen zum Testen der Hostnamenüberprüfung in Ihren Proxys und zum Ansehen von Fehlern finden Sie unter Trace-Tool verwenden.

Option 2: Flag auf Organisationsebene setzen

Sie können ein Apigee-Flag auf Organisationsebene festlegen, um die Überprüfung von Hostnamen für alle bereitgestellten Proxys und Ziele in Ihrer Organisation zu aktivieren. Wenn das Flag features.strictSSLEnforcement in den Organisationseigenschaften auf true festgelegt ist, wird die Hostnamenüberprüfung jedes Mal erzwungen, wenn der Proxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt.

Hinweis: Mit dieser Option können Sie das Feature in der gesamten Organisation aktivieren. Bei der Validierung des Hostnamens können jedoch Fehler auftreten, wenn Ihre Ziele nicht die erwarteten Zertifikate enthalten.

• Für Apigee Edge for Public Cloud-Bereitstellungen:

  Wenden Sie sich an den Google Cloud -Support, damit das Flag features.strictSSLEnforcement in den Organisationseigenschaften auf true gesetzt wird.

  Hinweis: Wenn Sie dieses Flag aktivieren, wird die SSL-Prüfung für alle Umgebungen in einer Organisation und alle in diesen Umgebungen bereitgestellten Proxys erzwungen.

• Für Apigee Edge for Private Cloud -Bereitstellungen:

  Das Flag features.strictSSLEnforcement kann vom Administrator der Organisation oder des Systems auf true gesetzt werden. Weitere Informationen zum Festlegen des Flags finden Sie unter Organisationseigenschaften aktualisieren.

  Hinweis: Wenn Sie Flags auf Organisationsebene mit der Organizations API aktualisieren, müssen Sie alle vorhandenen Flags in Ihre POST-Anfrage aufnehmen, um zu vermeiden, dass frühere Konfigurationseinstellungen überschrieben werden.

  Nachdem das Flag gesetzt wurde, muss jeder Nachrichten-Prozessor einzeln neu gestartet werden, damit die Änderung wirksam wird. Verwenden Sie den folgenden Befehl:

  apigee-service edge-message-processor restart

  Wenn Sie diese Änderung rückgängig machen möchten, setzen Sie das Flag mit derselben Organisations-API auf false und starten Sie dann jeden Nachrichten-Prozessor neu.

  Hinweis: Wenn Sie dieses Flag aktivieren, wird die SSL-Prüfung für alle Umgebungen in einer Organisation und alle in diesen Umgebungen bereitgestellten Proxys erzwungen. Wenn <IgnoreValidationErrors> jedoch auf true festgelegt ist, werden alle erkannten Validierungsfehler ignoriert.

Apigee empfiehlt, diese Änderung zuerst in Nicht-Produktionsumgebungen zu implementieren, um sicherzustellen, dass die Validierung wie vorgesehen funktioniert und nicht zu Produktionsausfällen führt. Wenn die Hostnamenüberprüfung für ein Ziel fehlschlägt, wird die folgende Fehlermeldung zurückgegeben:

{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

Update vom 3. November 2023: Ein bekanntes Problem für Apigee Edge for Private Cloud wurde hinzugefügt.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Apigee X und Apigee Hybrid verwendete Apigee Ingress-Dienst (Cloud Service Mesh). Die Sicherheitslücke kann zu einem DoS der Apigee API-Verwaltungsfunktionen führen.

Betroffene Produkte

• Apigee X

  Bereitstellungen von Apigee X, auf die über einen Google Cloud Netzwerk-Load Balancer (Layer 4) oder einen benutzerdefinierten Layer 4-Load Balancer zugegriffen werden kann, sind betroffen. Auf alle Apigee X-Instanzen wurde ein Hotfix angewendet.

• Apigee Hybrid

  Apigee Hybrid-Instanzen, die es HTTP/2-Anfragen erlauben, Apigee Ingress zu erreichen, sind betroffen. Kunden sollten prüfen, ob die Load Balancer, die auf ihre Apigee Hybrid-Ingress-Ressourcen zugreifen, HTTP/2-Anfragen erlauben, den Apigee-Ingress-Dienst zu erreichen.

• Apigee Edge for Private Cloud

  Die Komponenten des Routers und Verwaltungsservers von Edge for Private Cloud sind über das Internet zugänglich und können anfällig sein. Obwohl HTTP/2 auf dem Verwaltungsport anderer Edge-spezifischer Komponenten von Edge for Private Cloud aktiviert ist, ist keine dieser Komponenten im Internet zugänglich. Bei anderen Komponenten als Edge-Komponenten wie Cassandra und Zookeeper ist HTTP/2 nicht aktiviert. Führen Sie die Schritte unter Bekannte Probleme mit Edge for Private Cloud aus, um die Sicherheitslücke von Edge for Private Cloud zu beheben.

Nicht betroffene Produkte

• Apigee X

  Apigee X-Instanzen, auf die nur über Google Cloud Application Load Balancer (Layer 7) zugegriffen wird, sind nicht betroffen. Dazu gehören auch Bereitstellungen, bei denen HTTP/2 für gRPC-Proxys aktiviert ist.

• Google Cloud API Gateway

  Google Cloud API Gateway ist nicht betroffen.

• Apigee Edge-Cloud

  Apigee Edge Cloud ist von dieser Sicherheitslücke nicht betroffen.

Was soll ich tun?

• Apigee X

  Update vom 3. November 2023: Die Sicherheitslücke wurde über das Update auf Apigee X-Instanzen behoben, das am 13. Oktober 2023 veröffentlicht wurde. Weitere Einzelheiten finden Sie in den Versionshinweisen.

• Apigee Hybrid

  Apigee Hybrid-Kunden müssen auf eine der folgenden Patchversionen upgraden:

  • v1.10.3-hotfix.2, die am Freitag, den 13. Oktober 2023 veröffentlicht wurde
  • v1.9.4-hotfix.1, die am Freitag, den 13. Oktober 2023 veröffentlicht wurde.

• Apigee Edge for Private Cloud

  Nutzer von Apigee Edge for Private Cloud können die Anleitungen unter Bekannte Probleme mit Edge for Private Cloud befolgen, um HTTP/2 für bereitgestellte Komponenten explizit zu deaktivieren.

Welche Sicherheitslücken werden mit diesen Patches geschlossen?

Die Sicherheitslücke CVE-2023-44487 kann zu einem DoS der Apigee API-Verwaltungsfunktionen führen.