La section suivante décrit tous les bulletins de sécurité liés à Apigee.
Pour recevoir les derniers bulletins de sécurité, effectuez l'une des opérations suivantes :
- Ajoutez l'URL de cette page à votre lecteur de flux.
- Ajoutez directement l'URL du flux à votre lecteur de flux :
https://cloud.google.com/feeds/apigee-security-bulletins.xml
.
GCP-2024-006
Publié : 2024-2-5
Description | Niveau de gravité | Notes |
---|---|---|
Lorsqu'un proxy de gestion d'API Apigee se connecte à un point de terminaison cible ou à un serveur cible, le proxy n'effectue pas de validation du nom d'hôte pour le certificat présenté par défaut par le point de terminaison cible ou le serveur cible. Si la validation du nom d'hôte n'est pas activée à l'aide de l'une des options suivantes, les proxys Apigee se connectant à un point de terminaison cible ou à un serveur cible peuvent courir le risque d'une attaque MITM ("man in the middle") par un utilisateur autorisé. Pour en savoir plus, consultez la page Configurer TLS de la périphérie au backend (cloud et cloud privé). Produits concernés Les déploiements de proxy Apigee sur les plates-formes Apigee suivantes sont concernés :
Que dois-je faire ? Les clients peuvent utiliser l'une des options suivantes pour activer cette validation : Option 1 : Ajouter une configuration à votre proxy Vous pouvez activer la validation de votre point de terminaison cible ou de votre serveur cible en ajoutant une configuration
<HTTPTargetConnection>
<SSLInfo>
<Enabled>true</Enabled>
<TrustStore>ref://mytruststoreref</TrustStore>
<CommonName>*.example.com</CommonName>
</SSLInfo>
<URL>https://my.example.com/</URL>
</HTTPTargetConnection>
Si cette configuration est présente dans l'élément Apigee recommande cette approche. Vous pouvez tester les proxys individuellement pour vérifier que la validation fonctionne comme prévu, en minimisant la perturbation potentielle du trafic. Pour en savoir plus sur la manière de tester la validation du nom d'hôte dans vos proxys et l'affichage des erreurs, consultez la page Utiliser l'outil Trace. Option 2 : Définir une option au niveau de l'organisation Vous pouvez définir une option au niveau de l'organisation Apigee pour activer la validation du nom d'hôte pour tous les proxys et cibles déployés dans votre organisation. Si l'option Remarque : Bien que cette option puisse vous aider à activer la fonctionnalité dans l'ensemble de l'organisation, des échecs de validation du nom d'hôte peuvent se produire si vos cibles ne présentent pas les certificats attendus.
Apigee recommande d'implémenter cette modification en premier lieu dans des environnements hors production, pour s'assurer que la validation fonctionne comme prévu et n'entraîne pas d'interruptions en production. Si la validation du nom d'hôte échoue pour une cible, le message d'erreur suivant est renvoyé : {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}} |
Élevée |
GCP-2023-032
Publié : 2023-10-13
Mise à jour : 03-11-2023
Description | Niveau de gravité | Notes |
---|---|---|
Mise à jour du 03/11/2023 : ajout du problème connu pour Apigee Edge pour le cloud privé. Une faille par déni de service (DoS) a récemment été détectée dans plusieurs mises en œuvre du protocole HTTP/2 (CVE-2023-44487), y compris le service Apigee Ingress (Anthos Service Mesh) utilisé par Apigee X et Apigee hybrid. La faille pourrait entraîner un déni de service de la fonctionnalité de gestion d'API Apigee. Produits concernés
Produits non concernés
Que dois-je faire ?
Quelles failles ces correctifs permettent-ils de résoudre ? La faille, CVE-2023-44487, peut entraîner une attaque DoS de la fonctionnalité de gestion des API Apigee. |
Élevée | CVE-2023-44487 |