Bulletins de sécurité

La section suivante décrit tous les bulletins de sécurité liés à Apigee.

Pour recevoir les derniers bulletins de sécurité, effectuez l'une des opérations suivantes :

Ajoutez l'URL de cette page à votre lecteur de flux.
Ajoutez directement l'URL du flux à votre lecteur de flux : https://cloud.google.com/feeds/apigee-security-bulletins.xml.

GCP-2024-006

Publié : 2024-2-5

Description Niveau de gravité Notes

Description	Niveau de gravité	Notes
Lorsqu'un proxy de gestion d'API Apigee se connecte à un point de terminaison cible ou à un serveur cible, le proxy n'effectue pas de validation du nom d'hôte pour le certificat présenté par défaut par le point de terminaison cible ou le serveur cible. Si la validation du nom d'hôte n'est pas activée à l'aide de l'une des options suivantes, les proxys Apigee se connectant à un point de terminaison cible ou à un serveur cible peuvent courir le risque d'une attaque MITM ("man in the middle") par un utilisateur autorisé. Pour en savoir plus, consultez la page Configurer TLS de la périphérie au backend (cloud et cloud privé). Produits concernés Les déploiements de proxy Apigee sur les plates-formes Apigee suivantes sont concernés : Apigee Edge for Public Cloud Apigee Edge pour le cloud privé Que dois-je faire ? Les clients peuvent utiliser l'une des options suivantes pour activer cette validation : Option 1 : Ajouter une configuration à votre proxy Vous pouvez activer la validation de votre point de terminaison cible ou de votre serveur cible en ajoutant une configuration `<CommonName>` à la section `SSLInfo` de l'élément `<HTTPTargetConnection>` de votre configuration de proxy, comme indiqué ci-dessous : <HTTPTargetConnection> <SSLInfo> <Enabled>true</Enabled> <TrustStore>ref://mytruststoreref</TrustStore> <CommonName>.example.com</CommonName> </SSLInfo> <URL>https://my.example.com/</URL> </HTTPTargetConnection> Si cette configuration est présente dans l'élément `<HTTPTargetConnection>` de votre configuration de proxy, Apigee utilise la valeur spécifiée dans `<CommonName>` pour la validation du nom d'hôte. Vous pouvez utiliser des caractères génériques dans ce champ. Apigee recommande cette approche. Vous pouvez tester les proxys individuellement pour vérifier que la validation fonctionne comme prévu, en minimisant la perturbation potentielle du trafic. Pour en savoir plus sur la manière de tester la validation du nom d'hôte dans vos proxys et l'affichage des erreurs, consultez la page Utiliser l'outil Trace. Option 2 : Définir une option au niveau de l'organisation* Vous pouvez définir une option au niveau de l'organisation Apigee pour activer la validation du nom d'hôte pour tous les proxys et cibles déployés dans votre organisation. Si l'option `features.strictSSLEnforcement` est définie sur `true` dans les propriétés de l'organisation, la validation du nom d'hôte est appliquée chaque fois que le proxy se connecte à un point de terminaison cible ou à un serveur cible. Remarque : Bien que cette option puisse vous aider à activer la fonctionnalité dans l'ensemble de l'organisation, des échecs de validation du nom d'hôte peuvent se produire si vos cibles ne présentent pas les certificats attendus. Pour les déploiements Apigee Edge pour un cloud public : Contactez l'assistance Google Cloud pour que l'option `features.strictSSLEnforcement` soit définie sur `true` dans les propriétés de l'organisation. Remarque : L'activation de cette option applique la vérification SSL à tous les environnements d'une organisation et à tous les proxys déployés dans ces environnements. Pour les déploiements Apigee Edge pour un cloud privé : L'option `features.strictSSLEnforcement` peut être définie sur `true` par l'administrateur de l'organisation ou du système. Pour en savoir plus sur la définition de l'option, consultez la section Mettre à jour les propriétés de l'organisation. Remarque : Lorsque vous mettez à jour des options au niveau de l'organisation à l'aide de l'API Organizations, veillez à inclure toutes les options existantes dans votre requête POST afin d'éviter d'écraser les paramètres de configuration précédents. Une fois l'option définie, chaque processeur de messages doit être redémarré individuellement pour que la modification soit prise en compte. Exécutez la commande suivante : apigee-service edge-message-processor restart Pour annuler cette modification, utilisez la même API Organizations pour définir l'option sur `false`, puis redémarrez chaque processeur de messages. Remarque : L'activation de cette option applique la vérification SSL à tous les environnements d'une organisation et à tous les proxys déployés dans ces environnements. Toutefois, si `<IgnoreValidationErrors>` est défini sur `true`, toutes les erreurs de validation détectées sont ignorées. Apigee recommande d'implémenter cette modification en premier lieu dans des environnements hors production, pour s'assurer que la validation fonctionne comme prévu et n'entraîne pas d'interruptions en production. Si la validation du nom d'hôte échoue pour une cible, le message d'erreur suivant est renvoyé : {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}	Élevée

Lorsqu'un proxy de gestion d'API Apigee se connecte à un point de terminaison cible ou à un serveur cible, le proxy n'effectue pas de validation du nom d'hôte pour le certificat présenté par défaut par le point de terminaison cible ou le serveur cible. Si la validation du nom d'hôte n'est pas activée à l'aide de l'une des options suivantes, les proxys Apigee se connectant à un point de terminaison cible ou à un serveur cible peuvent courir le risque d'une attaque MITM ("man in the middle") par un utilisateur autorisé. Pour en savoir plus, consultez la page Configurer TLS de la périphérie au backend (cloud et cloud privé).

Produits concernés

Les déploiements de proxy Apigee sur les plates-formes Apigee suivantes sont concernés :

Apigee Edge for Public Cloud
Apigee Edge pour le cloud privé

Que dois-je faire ?

Les clients peuvent utiliser l'une des options suivantes pour activer cette validation :

Option 1 : Ajouter une configuration à votre proxy

Vous pouvez activer la validation de votre point de terminaison cible ou de votre serveur cible en ajoutant une configuration <CommonName> à la section SSLInfo de l'élément <HTTPTargetConnection> de votre configuration de proxy, comme indiqué ci-dessous :


<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

Si cette configuration est présente dans l'élément <HTTPTargetConnection> de votre configuration de proxy, Apigee utilise la valeur spécifiée dans <CommonName> pour la validation du nom d'hôte. Vous pouvez utiliser des caractères génériques dans ce champ.

Apigee recommande cette approche. Vous pouvez tester les proxys individuellement pour vérifier que la validation fonctionne comme prévu, en minimisant la perturbation potentielle du trafic. Pour en savoir plus sur la manière de tester la validation du nom d'hôte dans vos proxys et l'affichage des erreurs, consultez la page Utiliser l'outil Trace.

Option 2 : Définir une option au niveau de l'organisation

Vous pouvez définir une option au niveau de l'organisation Apigee pour activer la validation du nom d'hôte pour tous les proxys et cibles déployés dans votre organisation. Si l'option features.strictSSLEnforcement est définie sur true dans les propriétés de l'organisation, la validation du nom d'hôte est appliquée chaque fois que le proxy se connecte à un point de terminaison cible ou à un serveur cible.

Remarque : Bien que cette option puisse vous aider à activer la fonctionnalité dans l'ensemble de l'organisation, des échecs de validation du nom d'hôte peuvent se produire si vos cibles ne présentent pas les certificats attendus.

Pour les déploiements Apigee Edge pour un cloud public :
Contactez l'assistance Google Cloud pour que l'option features.strictSSLEnforcement soit définie sur true dans les propriétés de l'organisation.

Remarque : L'activation de cette option applique la vérification SSL à tous les environnements d'une organisation et à tous les proxys déployés dans ces environnements.
Pour les déploiements Apigee Edge pour un cloud privé :
L'option features.strictSSLEnforcement peut être définie sur true par l'administrateur de l'organisation ou du système. Pour en savoir plus sur la définition de l'option, consultez la section Mettre à jour les propriétés de l'organisation.

Remarque : Lorsque vous mettez à jour des options au niveau de l'organisation à l'aide de l'API Organizations, veillez à inclure toutes les options existantes dans votre requête POST afin d'éviter d'écraser les paramètres de configuration précédents.

Une fois l'option définie, chaque processeur de messages doit être redémarré individuellement pour que la modification soit prise en compte. Exécutez la commande suivante :
```
apigee-service edge-message-processor restart
```
Pour annuler cette modification, utilisez la même API Organizations pour définir l'option sur false, puis redémarrez chaque processeur de messages.

Remarque : L'activation de cette option applique la vérification SSL à tous les environnements d'une organisation et à tous les proxys déployés dans ces environnements. Toutefois, si <IgnoreValidationErrors> est défini sur true, toutes les erreurs de validation détectées sont ignorées.

Apigee recommande d'implémenter cette modification en premier lieu dans des environnements hors production, pour s'assurer que la validation fonctionne comme prévu et n'entraîne pas d'interruptions en production. Si la validation du nom d'hôte échoue pour une cible, le message d'erreur suivant est renvoyé :


{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

Élevée

GCP-2023-032

Publié : 2023-10-13

Mise à jour : 03-11-2023

Description	Niveau de gravité	Notes
Mise à jour du 03/11/2023 : ajout du problème connu pour Apigee Edge pour le cloud privé. Une faille par déni de service (DoS) a récemment été détectée dans plusieurs mises en œuvre du protocole HTTP/2 (CVE-2023-44487), y compris le service Apigee Ingress (Anthos Service Mesh) utilisé par Apigee X et Apigee hybrid. La faille pourrait entraîner un déni de service de la fonctionnalité de gestion d'API Apigee. Produits concernés Apigee X Les déploiements d'Apigee X accessibles via un équilibreur de charge réseau Google Cloud (couche 4) ou un équilibreur de charge personnalisé de couche 4 sont affectés. Un correctif a été appliqué à toutes les instances Apigee X. Apigee hybrid Les instances Apigee hybrid qui permettent aux requêtes HTTP/2 d'atteindre l'entrée Apigee sont affectées. Les clients doivent vérifier si les équilibreurs de charge qui font face à leurs entrées Apigee hybrid permettent aux requêtes HTTP/2 d'atteindre le service Apigee Ingress. Apigee Edge pour le cloud privé Les composants du routeur et du serveur de gestion Edge for Private Cloud sont exposés sur Internet et peuvent être vulnérables. Bien que HTTP/2 soit activé sur le port de gestion d'autres composants propres à Edge de Edge pour Private Cloud, aucun de ces composants n'est exposé à Internet. Sur les composants autres que Edge, tels que Cassandra, Zookeeper et d'autres, HTTP/2 n'est pas activé. Nous vous recommandons de suivre la procédure décrite dans la section Problèmes connus avec Edge pour le cloud privé pour résoudre la faille Edge pour le cloud privé. Produits non concernés Apigee X Les instances Apigee X accessibles uniquement via les équilibreurs de charge d'application Google Cloud (couche 7) ne sont pas affectées. Cela inclut les déploiements pour lesquels HTTP/2 est activé pour les proxys gRPC. API Gateway de Google Cloud La passerelle API Google Cloud n'est pas affectée. Apigee Edge Cloud Apigee Edge Cloud n'est pas affecté par cette faille. Que dois-je faire ? Apigee X Mise à jour du 3 novembre 2023: la faille a été corrigée via la mise à jour des instances Apigee X publiée le 13 octobre 2023. Consultez les notes de version pour plus de détails. Apigee hybrid Les clients Apigee hybrid devront passer à l'une des versions de correctif suivantes : v1.10.3-hotfix.2 publié le vendredi 13 octobre 2023 v1.9.4-hotfix.1 publié le vendredi 13 octobre 2023 Apigee Edge pour le cloud privé Les utilisateurs d'Apigee Edge pour le cloud privé peuvent suivre les instructions publiées dans la section Problèmes connus avec Edge pour le cloud privé pour désactiver explicitement HTTP/2 pour les composants exposés. Quelles failles ces correctifs permettent-ils de résoudre ? La faille, CVE-2023-44487, peut entraîner une attaque DoS de la fonctionnalité de gestion des API Apigee.	Élevée	CVE-2023-44487

Description

Niveau de gravité

Notes

Mise à jour du 03/11/2023 : ajout du problème connu pour Apigee Edge pour le cloud privé.

Une faille par déni de service (DoS) a récemment été détectée dans plusieurs mises en œuvre du protocole HTTP/2 (CVE-2023-44487), y compris le service Apigee Ingress (Anthos Service Mesh) utilisé par Apigee X et Apigee hybrid. La faille pourrait entraîner un déni de service de la fonctionnalité de gestion d'API Apigee.

Produits concernés

Apigee X

Les déploiements d'Apigee X accessibles via un équilibreur de charge réseau Google Cloud (couche 4) ou un équilibreur de charge personnalisé de couche 4 sont affectés. Un correctif a été appliqué à toutes les instances Apigee X.
Apigee hybrid

Les instances Apigee hybrid qui permettent aux requêtes HTTP/2 d'atteindre l'entrée Apigee sont affectées. Les clients doivent vérifier si les équilibreurs de charge qui font face à leurs entrées Apigee hybrid permettent aux requêtes HTTP/2 d'atteindre le service Apigee Ingress.
Apigee Edge pour le cloud privé

Les composants du routeur et du serveur de gestion Edge for Private Cloud sont exposés sur Internet et peuvent être vulnérables. Bien que HTTP/2 soit activé sur le port de gestion d'autres composants propres à Edge de Edge pour Private Cloud, aucun de ces composants n'est exposé à Internet. Sur les composants autres que Edge, tels que Cassandra, Zookeeper et d'autres, HTTP/2 n'est pas activé. Nous vous recommandons de suivre la procédure décrite dans la section Problèmes connus avec Edge pour le cloud privé pour résoudre la faille Edge pour le cloud privé.

Produits non concernés

Apigee X

Les instances Apigee X accessibles uniquement via les équilibreurs de charge d'application Google Cloud (couche 7) ne sont pas affectées. Cela inclut les déploiements pour lesquels HTTP/2 est activé pour les proxys gRPC.
API Gateway de Google Cloud

La passerelle API Google Cloud n'est pas affectée.
Apigee Edge Cloud

Apigee Edge Cloud n'est pas affecté par cette faille.

Que dois-je faire ?

Apigee X

Mise à jour du 3 novembre 2023: la faille a été corrigée via la mise à jour des instances Apigee X publiée le 13 octobre 2023. Consultez les notes de version pour plus de détails.
Apigee hybrid

Les clients Apigee hybrid devront passer à l'une des versions de correctif suivantes :
- v1.10.3-hotfix.2 publié le vendredi 13 octobre 2023
- v1.9.4-hotfix.1 publié le vendredi 13 octobre 2023
Apigee Edge pour le cloud privé

Les utilisateurs d'Apigee Edge pour le cloud privé peuvent suivre les instructions publiées dans la section Problèmes connus avec Edge pour le cloud privé pour désactiver explicitement HTTP/2 pour les composants exposés.

Quelles failles ces correctifs permettent-ils de résoudre ?

La faille, CVE-2023-44487, peut entraîner une attaque DoS de la fonctionnalité de gestion des API Apigee.

Élevée

CVE-2023-44487