Im Folgenden werden alle Sicherheitsbulletins zu Apigee beschrieben.
Führen Sie einen der folgenden Schritte aus, um die neuesten Sicherheitsbulletins zu erhalten:
- Fügen Sie Ihrem Feedreader die URL dieser Seite hinzu.
- Fügen Sie die Feed-URL direkt Ihrem Feed-Reader hinzu:
https://cloud.google.com/feeds/apigee-security-bulletins.xml
GCP-2024-006
Veröffentlicht: 5.2.2024
Beschreibung | Schweregrad | Notes |
---|---|---|
Wenn ein Apigee API-Verwaltungsproxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt, führt der Proxy standardmäßig keine Hostnamenvalidierung für Hostnamenüberprüfung für das vom Zielendpunkt oder Zielserver bereitgestellte Zertifikat durch. Wenn die Validierung des Hostnamens nicht mit einer der folgenden Optionen aktiviert ist, besteht für Apigee-Proxys, die eine Verbindung zu einem Zielendpunkt oder Zielserver herstellen, möglicherweise das Risiko eines Man-in-the-Middle-Angriffs durch einen autorisierten Nutzer. Weitere Informationen finden Sie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren. Betroffene Produkte Apigee-Proxy-Bereitstellungen auf den folgenden Apigee-Plattformen sind betroffen:
Was soll ich tun? Kunden können eine der folgenden Optionen verwenden, um diese Validierung zu aktivieren: Option 1: Konfiguration zum Proxy hinzufügen Sie können die Validierung Ihres Zielendpunkts oder Zielservers aktivieren, indem Sie eine
<HTTPTargetConnection>
<SSLInfo>
<Enabled>true</Enabled>
<TrustStore>ref://mytruststoreref</TrustStore>
<CommonName>*.example.com</CommonName>
</SSLInfo>
<URL>https://my.example.com/</URL>
</HTTPTargetConnection>
Wenn diese Konfiguration im Element Apigee empfiehlt diesen Ansatz. Sie können Proxys einzeln testen, um zu prüfen, ob die Validierung wie beabsichtigt funktioniert mit minimaler möglicher Unterbrechung des Traffics. Weitere Informationen zum Testen der Hostnamenvalidierung in Ihren Proxys und zum Anzeigen von Fehlern finden Sie unter Trace-Tool verwenden. Option 2: Flag auf Organisationsebene festlegen Sie können ein Flag auf Apigee-Organisationsebene festlegen, um die Validierung des Hostnamens für alle bereitgestellten Proxys und Ziele in Ihrer Organisation zu aktivieren. Wenn das Flag Hinweis: Mit dieser Option können Sie das Feature in der gesamten Organisation aktivieren. Bei der Validierung des Hostnamens können jedoch Fehler auftreten, wenn Ihre Ziele nicht die erwarteten Zertifikate enthalten.
Apigee empfiehlt, diese Änderung zuerst in Nicht-Produktionsumgebungen zu implementieren, um sicherzustellen, dass die Validierung wie beabsichtigt funktioniert und nicht zu Produktionsausfällen führt. Wenn die Hostnamenvalidierung für ein Ziel fehlschlägt, wird die folgende Fehlermeldung zurückgegeben: {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}} |
Hoch |
GCP-2023-032
Veröffentlicht: 23. Oktober 2023
Aktualisiert: 3. November 2023
Beschreibung | Schweregrad | Notes |
---|---|---|
Update vom 3. November 2023: Ein bekanntes Problem für Apigee Edge for Private Cloud wurde hinzugefügt. Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Apigee X und Apigee Hybrid verwendete Apigee Ingress-Dienst (Anthos Service Mesh). Die Sicherheitslücke kann zu einer DoS-Funktion der Apigee API-Verwaltung führen. Betroffene Produkte
Nicht betroffene Produkte
Was soll ich tun?
Welche Sicherheitslücken werden mit diesen Patches behoben? Die Sicherheitslücke CVE-2023-44487 könnte zu einer DoS von Apigee API-Verwaltungsfunktionen führen. |
Hoch | CVE-2023-44487 |