Sicherheitsbulletins

Im Folgenden werden alle Sicherheitsbulletins zu Apigee beschrieben.

Führen Sie einen der folgenden Schritte aus, um die neuesten Sicherheitsbulletins zu erhalten:

Fügen Sie Ihrem Feedreader die URL dieser Seite hinzu.
Fügen Sie die Feed-URL direkt Ihrem Feed-Reader hinzu: https://cloud.google.com/feeds/apigee-security-bulletins.xml

GCP-2024-006

Veröffentlicht: 5.2.2024

Beschreibung Schweregrad Notes

Beschreibung	Schweregrad	Notes
Wenn ein Apigee API-Verwaltungsproxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt, führt der Proxy standardmäßig keine Hostnamenvalidierung für Hostnamenüberprüfung für das vom Zielendpunkt oder Zielserver bereitgestellte Zertifikat durch. Wenn die Validierung des Hostnamens nicht mit einer der folgenden Optionen aktiviert ist, besteht für Apigee-Proxys, die eine Verbindung zu einem Zielendpunkt oder Zielserver herstellen, möglicherweise das Risiko eines Man-in-the-Middle-Angriffs durch einen autorisierten Nutzer. Weitere Informationen finden Sie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren. Betroffene Produkte Apigee-Proxy-Bereitstellungen auf den folgenden Apigee-Plattformen sind betroffen: Apigee Edge for Public Cloud Apigee Edge for Private Cloud Was soll ich tun? Kunden können eine der folgenden Optionen verwenden, um diese Validierung zu aktivieren: Option 1: Konfiguration zum Proxy hinzufügen Sie können die Validierung Ihres Zielendpunkts oder Zielservers aktivieren, indem Sie eine `<CommonName>`-Konfiguration zum Abschnitt `SSLInfo` des Elements `<HTTPTargetConnection>` in Ihrer Proxykonfiguration hinzufügen, wie hier gezeigt: <HTTPTargetConnection> <SSLInfo> <Enabled>true</Enabled> <TrustStore>ref://mytruststoreref</TrustStore> <CommonName>.example.com</CommonName> </SSLInfo> <URL>https://my.example.com/</URL> </HTTPTargetConnection> Wenn diese Konfiguration im Element `<HTTPTargetConnection>` Ihrer Proxykonfiguration vorhanden ist, verwendet Apigee den in `<CommonName>` angegebenen Wert für die Validierung des Hostnamens. In diesem Feld können Platzhalter verwendet werden. Apigee empfiehlt diesen Ansatz. Sie können Proxys einzeln testen, um zu prüfen, ob die Validierung wie beabsichtigt funktioniert mit minimaler möglicher Unterbrechung des Traffics. Weitere Informationen zum Testen der Hostnamenvalidierung in Ihren Proxys und zum Anzeigen von Fehlern finden Sie unter Trace-Tool verwenden. Option 2: Flag auf Organisationsebene festlegen* Sie können ein Flag auf Apigee-Organisationsebene festlegen, um die Validierung des Hostnamens für alle bereitgestellten Proxys und Ziele in Ihrer Organisation zu aktivieren. Wenn das Flag `features.strictSSLEnforcement` in den Organisationsattributen auf `true` gesetzt ist, wird die Validierung des Hostnamens jedes Mal erzwungen, wenn der Proxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt. Hinweis: Mit dieser Option können Sie das Feature in der gesamten Organisation aktivieren. Bei der Validierung des Hostnamens können jedoch Fehler auftreten, wenn Ihre Ziele nicht die erwarteten Zertifikate enthalten. Für Apigee Edge for Public Cloud-Bereitstellungen: Wenden Sie sich an den Google Cloud-Support, damit das Flag `features.strictSSLEnforcement` in den Organisationsattributen auf `true` gesetzt wird. Hinweis: Wenn Sie dieses Flag aktivieren, wird die SSL-Prüfung für alle Umgebungen in einer Organisation und alle in diesen Umgebungen bereitgestellten Proxys erzwungen. Für Apigee Edge for Private Cloud -Bereitstellungen: Das Flag `features.strictSSLEnforcement` kann vom Organisations- oder Systemadministrator auf `true` gesetzt werden. Weitere Informationen zum Festlegen des Flags finden Sie unter Organisationsattribute aktualisieren. Hinweis: Wenn Sie Flags auf Organisationsebene mithilfe der Organizations API aktualisieren, achten Sie darauf, alle vorhandenen Flags in Ihre POST-Anfrage aufzunehmen, um das Überschreiben früherer Konfigurationseinstellungen zu vermeiden. Nachdem das Flag gesetzt wurde, muss jeder Nachrichtenprozessor einzeln neu gestartet werden, damit die Änderung wirksam wird. Verwenden Sie den folgenden Befehl: apigee-service edge-message-processor restart Wenn Sie diese Änderung rückgängig machen möchten, verwenden Sie dieselbe Organizations API, um das Flag auf `false` zu setzen, und starten Sie dann jeden Nachrichtenprozessor neu. Hinweis: Wenn Sie dieses Flag aktivieren, wird die SSL-Prüfung für alle Umgebungen in einer Organisation und alle in diesen Umgebungen bereitgestellten Proxys erzwungen. Wenn `<IgnoreValidationErrors>` jedoch auf `true` gesetzt ist, werden alle erkannten Validierungsfehler ignoriert. Apigee empfiehlt, diese Änderung zuerst in Nicht-Produktionsumgebungen zu implementieren, um sicherzustellen, dass die Validierung wie beabsichtigt funktioniert und nicht zu Produktionsausfällen führt. Wenn die Hostnamenvalidierung für ein Ziel fehlschlägt, wird die folgende Fehlermeldung zurückgegeben: {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}	Hoch

Wenn ein Apigee API-Verwaltungsproxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt, führt der Proxy standardmäßig keine Hostnamenvalidierung für Hostnamenüberprüfung für das vom Zielendpunkt oder Zielserver bereitgestellte Zertifikat durch. Wenn die Validierung des Hostnamens nicht mit einer der folgenden Optionen aktiviert ist, besteht für Apigee-Proxys, die eine Verbindung zu einem Zielendpunkt oder Zielserver herstellen, möglicherweise das Risiko eines Man-in-the-Middle-Angriffs durch einen autorisierten Nutzer. Weitere Informationen finden Sie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren.

Betroffene Produkte

Apigee-Proxy-Bereitstellungen auf den folgenden Apigee-Plattformen sind betroffen:

Apigee Edge for Public Cloud
Apigee Edge for Private Cloud

Was soll ich tun?

Kunden können eine der folgenden Optionen verwenden, um diese Validierung zu aktivieren:

Option 1: Konfiguration zum Proxy hinzufügen

Sie können die Validierung Ihres Zielendpunkts oder Zielservers aktivieren, indem Sie eine <CommonName>-Konfiguration zum Abschnitt SSLInfo des Elements <HTTPTargetConnection> in Ihrer Proxykonfiguration hinzufügen, wie hier gezeigt:


<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

Wenn diese Konfiguration im Element <HTTPTargetConnection> Ihrer Proxykonfiguration vorhanden ist, verwendet Apigee den in <CommonName> angegebenen Wert für die Validierung des Hostnamens. In diesem Feld können Platzhalter verwendet werden.

Apigee empfiehlt diesen Ansatz. Sie können Proxys einzeln testen, um zu prüfen, ob die Validierung wie beabsichtigt funktioniert mit minimaler möglicher Unterbrechung des Traffics. Weitere Informationen zum Testen der Hostnamenvalidierung in Ihren Proxys und zum Anzeigen von Fehlern finden Sie unter Trace-Tool verwenden.

Option 2: Flag auf Organisationsebene festlegen

Sie können ein Flag auf Apigee-Organisationsebene festlegen, um die Validierung des Hostnamens für alle bereitgestellten Proxys und Ziele in Ihrer Organisation zu aktivieren. Wenn das Flag features.strictSSLEnforcement in den Organisationsattributen auf true gesetzt ist, wird die Validierung des Hostnamens jedes Mal erzwungen, wenn der Proxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt.

Hinweis: Mit dieser Option können Sie das Feature in der gesamten Organisation aktivieren. Bei der Validierung des Hostnamens können jedoch Fehler auftreten, wenn Ihre Ziele nicht die erwarteten Zertifikate enthalten.

Für Apigee Edge for Public Cloud-Bereitstellungen:
Wenden Sie sich an den Google Cloud-Support, damit das Flag features.strictSSLEnforcement in den Organisationsattributen auf true gesetzt wird.

Hinweis: Wenn Sie dieses Flag aktivieren, wird die SSL-Prüfung für alle Umgebungen in einer Organisation und alle in diesen Umgebungen bereitgestellten Proxys erzwungen.
Für Apigee Edge for Private Cloud -Bereitstellungen:
Das Flag features.strictSSLEnforcement kann vom Organisations- oder Systemadministrator auf true gesetzt werden. Weitere Informationen zum Festlegen des Flags finden Sie unter Organisationsattribute aktualisieren.

Hinweis: Wenn Sie Flags auf Organisationsebene mithilfe der Organizations API aktualisieren, achten Sie darauf, alle vorhandenen Flags in Ihre POST-Anfrage aufzunehmen, um das Überschreiben früherer Konfigurationseinstellungen zu vermeiden.

Nachdem das Flag gesetzt wurde, muss jeder Nachrichtenprozessor einzeln neu gestartet werden, damit die Änderung wirksam wird. Verwenden Sie den folgenden Befehl:
```
apigee-service edge-message-processor restart
```
Wenn Sie diese Änderung rückgängig machen möchten, verwenden Sie dieselbe Organizations API, um das Flag auf false zu setzen, und starten Sie dann jeden Nachrichtenprozessor neu.

Hinweis: Wenn Sie dieses Flag aktivieren, wird die SSL-Prüfung für alle Umgebungen in einer Organisation und alle in diesen Umgebungen bereitgestellten Proxys erzwungen. Wenn <IgnoreValidationErrors> jedoch auf true gesetzt ist, werden alle erkannten Validierungsfehler ignoriert.

Apigee empfiehlt, diese Änderung zuerst in Nicht-Produktionsumgebungen zu implementieren, um sicherzustellen, dass die Validierung wie beabsichtigt funktioniert und nicht zu Produktionsausfällen führt. Wenn die Hostnamenvalidierung für ein Ziel fehlschlägt, wird die folgende Fehlermeldung zurückgegeben:


{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

Hoch

GCP-2023-032

Veröffentlicht: 23. Oktober 2023

Aktualisiert: 3. November 2023

Beschreibung	Schweregrad	Notes
Update vom 3. November 2023: Ein bekanntes Problem für Apigee Edge for Private Cloud wurde hinzugefügt. Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Apigee X und Apigee Hybrid verwendete Apigee Ingress-Dienst (Anthos Service Mesh). Die Sicherheitslücke kann zu einer DoS-Funktion der Apigee API-Verwaltung führen. Betroffene Produkte Apigee X Bereitstellungen von Apigee X, auf die über einen Google Cloud-Netzwerk-Load-Balancer (Layer 4) oder einen benutzerdefinierten Layer 4-Load-Balancer zugegriffen werden kann, sind betroffen. Auf alle Apigee X-Instanzen wurde ein Hotfix angewendet. Apigee Hybrid Apigee Hybrid-Instanzen, die es HTTP/2-Anfragen erlauben, Apigee Ingress zu erreichen, sind betroffen. Kunden sollten prüfen, ob die Load Balancer, die auf ihre Apigee Hybrid-Ingress-Ressourcen zugreifen, HTTP/2-Anfragen erlauben, den Apigee-Ingress-Dienst zu erreichen. Apigee Edge for Private Cloud Die Komponenten des Routers und Verwaltungsservers von Edge for Private Cloud sind über das Internet zugänglich und können anfällig sein. Obwohl HTTP/2 auf dem Verwaltungsport anderer Edge-spezifischer Komponenten von Edge for Private Cloud aktiviert ist, ist keine dieser Komponenten im Internet zugänglich. Bei Nicht-Edge-Komponenten wie Cassandra, Zookeeper und anderen ist HTTP/2 nicht aktiviert. Führen Sie die Schritte unter Bekannte Probleme mit Edge for Private Cloud aus, um die Sicherheitslücke von Edge for Private Cloud zu beheben. Nicht betroffene Produkte Apigee X Apigee X-Instanzen, auf die nur über Google Cloud-Application-Load-Balancer (Layer 7) zugegriffen wird, sind nicht betroffen. Dazu gehören auch Bereitstellungen, für die HTTP/2 für gRPC-Proxys aktiviert ist. Google Cloud API Gateway Google Cloud API Gateway ist nicht betroffen. Apigee Edge-Cloud Apigee Edge Cloud ist von dieser Sicherheitslücke nicht betroffen. Was soll ich tun? Apigee X Update vom 3. November 2023: Die Sicherheitslücke wurde über das Update auf Apigee X-Instanzen behoben, das am 13. Oktober 2023 veröffentlicht wurde. Weitere Einzelheiten finden Sie in den Versionshinweisen. Apigee Hybrid Apigee Hybrid-Kunden müssen ein Upgrade auf eine der folgenden Patch-Versionen ausführen: v1.10.3-hotfix.2, die am Freitag, den 13. Oktober 2023 veröffentlicht wurde v1.9.4-hotfix.1, die am Freitag, den 13. Oktober 2023 veröffentlicht wurde. Apigee Edge for Private Cloud Nutzer von Apigee Edge for Private Cloud können die Anleitungen unter Bekannte Probleme mit Edge for Private Cloud befolgen, um HTTP/2 für bereitgestellte Komponenten explizit zu deaktivieren. Welche Sicherheitslücken werden mit diesen Patches behoben? Die Sicherheitslücke CVE-2023-44487 könnte zu einer DoS von Apigee API-Verwaltungsfunktionen führen.	Hoch	CVE-2023-44487

Beschreibung

Schweregrad

Notes

Update vom 3. November 2023: Ein bekanntes Problem für Apigee Edge for Private Cloud wurde hinzugefügt.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Apigee X und Apigee Hybrid verwendete Apigee Ingress-Dienst (Anthos Service Mesh). Die Sicherheitslücke kann zu einer DoS-Funktion der Apigee API-Verwaltung führen.

Betroffene Produkte

Apigee X

Bereitstellungen von Apigee X, auf die über einen Google Cloud-Netzwerk-Load-Balancer (Layer 4) oder einen benutzerdefinierten Layer 4-Load-Balancer zugegriffen werden kann, sind betroffen. Auf alle Apigee X-Instanzen wurde ein Hotfix angewendet.
Apigee Hybrid

Apigee Hybrid-Instanzen, die es HTTP/2-Anfragen erlauben, Apigee Ingress zu erreichen, sind betroffen. Kunden sollten prüfen, ob die Load Balancer, die auf ihre Apigee Hybrid-Ingress-Ressourcen zugreifen, HTTP/2-Anfragen erlauben, den Apigee-Ingress-Dienst zu erreichen.
Apigee Edge for Private Cloud

Die Komponenten des Routers und Verwaltungsservers von Edge for Private Cloud sind über das Internet zugänglich und können anfällig sein. Obwohl HTTP/2 auf dem Verwaltungsport anderer Edge-spezifischer Komponenten von Edge for Private Cloud aktiviert ist, ist keine dieser Komponenten im Internet zugänglich. Bei Nicht-Edge-Komponenten wie Cassandra, Zookeeper und anderen ist HTTP/2 nicht aktiviert. Führen Sie die Schritte unter Bekannte Probleme mit Edge for Private Cloud aus, um die Sicherheitslücke von Edge for Private Cloud zu beheben.

Nicht betroffene Produkte

Apigee X

Apigee X-Instanzen, auf die nur über Google Cloud-Application-Load-Balancer (Layer 7) zugegriffen wird, sind nicht betroffen. Dazu gehören auch Bereitstellungen, für die HTTP/2 für gRPC-Proxys aktiviert ist.
Google Cloud API Gateway

Google Cloud API Gateway ist nicht betroffen.
Apigee Edge-Cloud

Apigee Edge Cloud ist von dieser Sicherheitslücke nicht betroffen.

Was soll ich tun?

Apigee X

Update vom 3. November 2023: Die Sicherheitslücke wurde über das Update auf Apigee X-Instanzen behoben, das am 13. Oktober 2023 veröffentlicht wurde. Weitere Einzelheiten finden Sie in den Versionshinweisen.
Apigee Hybrid

Apigee Hybrid-Kunden müssen ein Upgrade auf eine der folgenden Patch-Versionen ausführen:
- v1.10.3-hotfix.2, die am Freitag, den 13. Oktober 2023 veröffentlicht wurde
- v1.9.4-hotfix.1, die am Freitag, den 13. Oktober 2023 veröffentlicht wurde.
Apigee Edge for Private Cloud

Nutzer von Apigee Edge for Private Cloud können die Anleitungen unter Bekannte Probleme mit Edge for Private Cloud befolgen, um HTTP/2 für bereitgestellte Komponenten explizit zu deaktivieren.

Welche Sicherheitslücken werden mit diesen Patches behoben?

Die Sicherheitslücke CVE-2023-44487 könnte zu einer DoS von Apigee API-Verwaltungsfunktionen führen.

Hoch

CVE-2023-44487