Berikut ini penjelasan semua buletin keamanan yang terkait dengan Apigee.
Untuk mendapatkan buletin keamanan terbaru, lakukan salah satu hal berikut:
- Tambahkan URL halaman ini terhadap pembaca feed Anda.
- Tambahkan URL feed secara langsung ke pembaca feed:
https://cloud.google.com/feeds/apigee-security-bulletins.xml
GCP-2024-006
Dipublikasikan: 5-2-2024
Deskripsi | Keparahan | Notes |
---|---|---|
Saat proxy Pengelolaan API Apigee terhubung ke endpoint target atau server target, proxy tidak melakukan validasi nama host untuk sertifikat yang diberikan oleh endpoint target atau server target secara default. Jika validasi nama host tidak diaktifkan menggunakan salah satu opsi berikut, proxy Apigee yang terhubung ke endpoint target atau server target berisiko terkena serangan man in the middle oleh pengguna yang diotorisasi. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Private Cloud). Produk yang Terpengaruh Deployment proxy Apigee pada platform Apigee berikut terpengaruh:
Apa yang Harus Saya Lakukan? Pelanggan dapat menggunakan salah satu opsi berikut untuk mengaktifkan validasi ini: Opsi 1 - Menambahkan konfigurasi ke proxy Anda dapat mengaktifkan validasi endpoint target atau server target dengan menambahkan konfigurasi <HTTPTargetConnection>
<SSLInfo>
<Enabled>true</Enabled>
<TrustStore>ref://mytruststoreref</TrustStore>
<CommonName>*.example.com</CommonName>
</SSLInfo>
<URL>https://my.example.com/</URL>
</HTTPTargetConnection>
Jika konfigurasi ini ada dalam elemen Apigee merekomendasikan pendekatan ini. Anda dapat menguji proxy satu per satu untuk mengonfirmasi bahwa validasi berjalan sebagaimana mestinya, dengan potensi gangguan minimal pada traffic. Untuk informasi selengkapnya tentang menguji validasi nama host di proxy dan melihat kesalahan, lihat Menggunakan Alat Pelacakan. Opsi 2 - Menetapkan tanda tingkat organisasi Anda dapat menetapkan tanda tingkat organisasi Apigee guna mengaktifkan validasi nama host untuk semua proxy dan target yang di-deploy di organisasi Anda. Jika tanda Catatan: Meskipun opsi ini dapat membantu Anda mengaktifkan fitur di seluruh organisasi, kegagalan validasi nama host dapat terjadi jika target Anda tidak menampilkan sertifikat yang diharapkan.
Apigee merekomendasikan penerapan perubahan ini di lingkungan non-produksi terlebih dahulu, untuk memastikan validasi berfungsi sebagaimana mestinya dan tidak mengakibatkan gangguan produksi. Jika validasi nama host gagal untuk target apa pun, pesan kesalahan berikut akan ditampilkan: {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}} |
Tinggi |
GCP-2023-032
Dipublikasikan: 13-10-2023
Diperbarui: 03-11-2023
Deskripsi | Keparahan | Notes |
---|---|---|
Update 03-11-2023: Menambahkan masalah umum Apigee Edge untuk Private Cloud. Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk layanan Apigee Ingress (Anthos Service Mesh) yang digunakan oleh Apigee X dan Apigee Hybrid. Kerentanan ini dapat menyebabkan DoS fungsi pengelolaan API Apigee. Produk yang Terpengaruh
Produk yang tidak terpengaruh
Apa yang Harus Saya Lakukan?
Kerentanan Apa yang Dapat diatasi oleh Patch Ini? Kerentanan CVE-2023-44487 dapat menyebabkan DoS fungsi pengelolaan API Apigee. |
Tinggi | CVE-2023-44487 |