Halaman ini diterjemahkan oleh Cloud Translation API.

Buletin keamanan

Berikut ini penjelasan semua buletin keamanan yang terkait dengan Apigee.

Untuk mendapatkan buletin keamanan terbaru, lakukan salah satu hal berikut:

Tambahkan URL halaman ini terhadap pembaca feed Anda.
Tambahkan URL feed secara langsung ke pembaca feed: https://cloud.google.com/feeds/apigee-security-bulletins.xml

GCP-2024-006

Dipublikasikan: 5-2-2024

Deskripsi Keparahan Notes

Deskripsi	Keparahan	Notes
Saat proxy Pengelolaan API Apigee terhubung ke endpoint target atau server target, proxy tidak melakukan validasi nama host untuk sertifikat yang diberikan oleh endpoint target atau server target secara default. Jika validasi nama host tidak diaktifkan menggunakan salah satu opsi berikut, proxy Apigee yang terhubung ke endpoint target atau server target berisiko terkena serangan man in the middle oleh pengguna yang diotorisasi. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Private Cloud). Produk yang Terpengaruh Deployment proxy Apigee pada platform Apigee berikut terpengaruh: Apigee Edge untuk Cloud Publik Apigee Edge untuk Private Cloud Apa yang Harus Saya Lakukan? Pelanggan dapat menggunakan salah satu opsi berikut untuk mengaktifkan validasi ini: Opsi 1 - Menambahkan konfigurasi ke proxy Anda dapat mengaktifkan validasi endpoint target atau server target dengan menambahkan konfigurasi `<CommonName>` ke bagian `SSLInfo` dari elemen `<HTTPTargetConnection>` dalam konfigurasi proxy seperti yang ditunjukkan: <HTTPTargetConnection> <SSLInfo> <Enabled>true</Enabled> <TrustStore>ref://mytruststoreref</TrustStore> <CommonName>.example.com</CommonName> </SSLInfo> <URL>https://my.example.com/</URL> </HTTPTargetConnection> Jika konfigurasi ini ada dalam elemen `<HTTPTargetConnection>` konfigurasi proxy Anda, Apigee akan menggunakan nilai yang ditentukan dalam `<CommonName>` untuk validasi nama host. Karakter pengganti dapat digunakan di kolom ini. Apigee merekomendasikan pendekatan ini. Anda dapat menguji proxy satu per satu untuk mengonfirmasi bahwa validasi berjalan sebagaimana mestinya, dengan potensi gangguan minimal pada traffic. Untuk informasi selengkapnya tentang menguji validasi nama host di proxy dan melihat kesalahan, lihat Menggunakan Alat Pelacakan. Opsi 2 - Menetapkan tanda tingkat organisasi* Anda dapat menetapkan tanda tingkat organisasi Apigee guna mengaktifkan validasi nama host untuk semua proxy dan target yang di-deploy di organisasi Anda. Jika tanda `features.strictSSLEnforcement` ditetapkan ke `true` di properti organisasi, validasi nama host akan diterapkan setiap kali proxy terhubung ke endpoint target atau server target. Catatan: Meskipun opsi ini dapat membantu Anda mengaktifkan fitur di seluruh organisasi, kegagalan validasi nama host dapat terjadi jika target Anda tidak menampilkan sertifikat yang diharapkan. Untuk deployment Apigee Edge for Public Cloud: Hubungi Dukungan Google Cloud agar flag `features.strictSSLEnforcement` ditetapkan ke `true` di properti org. Catatan: Mengaktifkan tanda ini akan menerapkan pemeriksaan SSL untuk semua lingkungan dalam organisasi dan semua proxy yang di-deploy dalam lingkungan tersebut. Untuk deployment Apigee Edge untuk Private Cloud : Flag `features.strictSSLEnforcement` dapat disetel ke `true` oleh administrator sistem atau organisasi. Untuk mengetahui informasi selengkapnya tentang cara menetapkan tanda, lihat Memperbarui properti organisasi. Catatan: Saat memperbarui tanda tingkat organisasi menggunakan Organization API, pastikan untuk menyertakan semua tanda yang ada dalam permintaan POST Anda agar tidak menimpa setelan konfigurasi sebelumnya. Setelah tanda ditetapkan, setiap pemroses pesan harus dimulai ulang satu per satu agar perubahan dapat diterapkan. Gunakan perintah berikut: apigee-service edge-message-processor restart Untuk me-roll back perubahan ini, gunakan Organization API yang sama untuk menetapkan tanda ke `false`, lalu mulai ulang setiap pemroses pesan. Catatan: Mengaktifkan tanda ini akan menerapkan pemeriksaan SSL untuk semua lingkungan dalam organisasi dan semua proxy yang di-deploy dalam lingkungan tersebut. Namun, jika `<IgnoreValidationErrors>` ditetapkan ke `true`, error validasi apa pun yang terdeteksi akan diabaikan. Apigee merekomendasikan penerapan perubahan ini di lingkungan non-produksi terlebih dahulu, untuk memastikan validasi berfungsi sebagaimana mestinya dan tidak mengakibatkan gangguan produksi. Jika validasi nama host gagal untuk target apa pun, pesan kesalahan berikut akan ditampilkan: {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}	Tinggi

Saat proxy Pengelolaan API Apigee terhubung ke endpoint target atau server target, proxy tidak melakukan validasi nama host untuk sertifikat yang diberikan oleh endpoint target atau server target secara default. Jika validasi nama host tidak diaktifkan menggunakan salah satu opsi berikut, proxy Apigee yang terhubung ke endpoint target atau server target berisiko terkena serangan man in the middle oleh pengguna yang diotorisasi. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Private Cloud).

Produk yang Terpengaruh

Deployment proxy Apigee pada platform Apigee berikut terpengaruh:

Apigee Edge untuk Cloud Publik
Apigee Edge untuk Private Cloud

Apa yang Harus Saya Lakukan?

Pelanggan dapat menggunakan salah satu opsi berikut untuk mengaktifkan validasi ini:

Opsi 1 - Menambahkan konfigurasi ke proxy

Anda dapat mengaktifkan validasi endpoint target atau server target dengan menambahkan konfigurasi <CommonName> ke bagian SSLInfo dari elemen <HTTPTargetConnection> dalam konfigurasi proxy seperti yang ditunjukkan:

<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

Jika konfigurasi ini ada dalam elemen <HTTPTargetConnection> konfigurasi proxy Anda, Apigee akan menggunakan nilai yang ditentukan dalam <CommonName> untuk validasi nama host. Karakter pengganti dapat digunakan di kolom ini.

Apigee merekomendasikan pendekatan ini. Anda dapat menguji proxy satu per satu untuk mengonfirmasi bahwa validasi berjalan sebagaimana mestinya, dengan potensi gangguan minimal pada traffic. Untuk informasi selengkapnya tentang menguji validasi nama host di proxy dan melihat kesalahan, lihat Menggunakan Alat Pelacakan.

Opsi 2 - Menetapkan tanda tingkat organisasi

Anda dapat menetapkan tanda tingkat organisasi Apigee guna mengaktifkan validasi nama host untuk semua proxy dan target yang di-deploy di organisasi Anda. Jika tanda features.strictSSLEnforcement ditetapkan ke true di properti organisasi, validasi nama host akan diterapkan setiap kali proxy terhubung ke endpoint target atau server target.

Catatan: Meskipun opsi ini dapat membantu Anda mengaktifkan fitur di seluruh organisasi, kegagalan validasi nama host dapat terjadi jika target Anda tidak menampilkan sertifikat yang diharapkan.

Untuk deployment Apigee Edge for Public Cloud:
Hubungi Dukungan Google Cloud agar flag features.strictSSLEnforcement ditetapkan ke true di properti org.

Catatan: Mengaktifkan tanda ini akan menerapkan pemeriksaan SSL untuk semua lingkungan dalam organisasi dan semua proxy yang di-deploy dalam lingkungan tersebut.
Untuk deployment Apigee Edge untuk Private Cloud :
Flag features.strictSSLEnforcement dapat disetel ke true oleh administrator sistem atau organisasi. Untuk mengetahui informasi selengkapnya tentang cara menetapkan tanda, lihat Memperbarui properti organisasi.

Catatan: Saat memperbarui tanda tingkat organisasi menggunakan Organization API, pastikan untuk menyertakan semua tanda yang ada dalam permintaan POST Anda agar tidak menimpa setelan konfigurasi sebelumnya.

Setelah tanda ditetapkan, setiap pemroses pesan harus dimulai ulang satu per satu agar perubahan dapat diterapkan. Gunakan perintah berikut:
```
apigee-service edge-message-processor restart
```
Untuk me-roll back perubahan ini, gunakan Organization API yang sama untuk menetapkan tanda ke false, lalu mulai ulang setiap pemroses pesan.

Catatan: Mengaktifkan tanda ini akan menerapkan pemeriksaan SSL untuk semua lingkungan dalam organisasi dan semua proxy yang di-deploy dalam lingkungan tersebut. Namun, jika <IgnoreValidationErrors> ditetapkan ke true, error validasi apa pun yang terdeteksi akan diabaikan.

Apigee merekomendasikan penerapan perubahan ini di lingkungan non-produksi terlebih dahulu, untuk memastikan validasi berfungsi sebagaimana mestinya dan tidak mengakibatkan gangguan produksi. Jika validasi nama host gagal untuk target apa pun, pesan kesalahan berikut akan ditampilkan:

{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

Tinggi

GCP-2023-032

Dipublikasikan: 13-10-2023

Diperbarui: 03-11-2023

Deskripsi	Keparahan	Notes
Update 03-11-2023: Menambahkan masalah umum Apigee Edge untuk Private Cloud. Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk layanan Apigee Ingress (Anthos Service Mesh) yang digunakan oleh Apigee X dan Apigee Hybrid. Kerentanan ini dapat menyebabkan DoS fungsi pengelolaan API Apigee. Produk yang Terpengaruh Apigee X Deployment Apigee X yang dapat diakses melalui Load Balancer Jaringan Google Cloud (Layer 4), atau load balancer lapisan 4 kustom, akan terpengaruh. Hotfix telah diterapkan ke semua instance Apigee X. Apigee Hybrid Instance hybrid Apigee yang memungkinkan permintaan HTTP/2 menjangkau Apigee Ingress akan terpengaruh. Pelanggan harus memverifikasi apakah load balancer yang menghadap ke ingress hybrid Apigee memungkinkan permintaan HTTP/2 menjangkau layanan Apigee Ingress. Apigee Edge untuk Private Cloud Komponen router dan server pengelolaan Edge for Private Cloud terekspos ke internet dan berpotensi rentan. Meskipun HTTP/2 diaktifkan di port pengelolaan komponen khusus Edge lainnya di Edge untuk Private Cloud, tidak ada komponen tersebut yang terekspos ke internet. Pada komponen non-Edge, seperti Cassandra, Zookeeper, dan lainnya, HTTP/2 tidak diaktifkan. Sebaiknya lakukan langkah-langkah dalam Masalah umum pada Edge for Private Cloud guna mengatasi kerentanan Edge untuk Private Cloud. Produk yang tidak terpengaruh Apigee X Instance Apigee X yang hanya diakses melalui Load Balancer Aplikasi Google Cloud (Layer 7) tidak akan terpengaruh. Ini mencakup deployment yang mengaktifkan HTTP/2 untuk proxy gRPC. Gateway API Google Cloud Gateway API Google Cloud tidak terpengaruh. Cloud Apigee Edge Apigee Edge Cloud tidak terpengaruh oleh kerentanan ini. Apa yang Harus Saya Lakukan? Apigee X Update 3 November 2023: kerentanan telah diatasi melalui update pada instance Apigee X yang dirilis pada 13 Oktober 2023. Lihat Catatan rilis untuk mengetahui detailnya. Apigee Hybrid Pelanggan Apigee Hybrid harus mengupgrade ke salah satu versi patch berikut: v1.10.3-hotfix.2 dirilis pada Jumat, 13 Oktober 2023 v1.9.4-hotfix.1 dirilis pada Jumat, 13 Oktober 2023 Apigee Edge untuk Private Cloud Pengguna Apigee Edge untuk Private Cloud dapat mengikuti petunjuk yang dipublikasikan di Masalah umum pada Edge untuk Private Cloud terkait penonaktifan eksplisit HTTP/2 untuk komponen yang terekspos. Kerentanan Apa yang Dapat diatasi oleh Patch Ini? Kerentanan CVE-2023-44487 dapat menyebabkan DoS fungsi pengelolaan API Apigee.	Tinggi	CVE-2023-44487

Deskripsi

Keparahan

Notes

Update 03-11-2023: Menambahkan masalah umum Apigee Edge untuk Private Cloud.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk layanan Apigee Ingress (Anthos Service Mesh) yang digunakan oleh Apigee X dan Apigee Hybrid. Kerentanan ini dapat menyebabkan DoS fungsi pengelolaan API Apigee.

Produk yang Terpengaruh

Apigee X

Deployment Apigee X yang dapat diakses melalui Load Balancer Jaringan Google Cloud (Layer 4), atau load balancer lapisan 4 kustom, akan terpengaruh. Hotfix telah diterapkan ke semua instance Apigee X.
Apigee Hybrid

Instance hybrid Apigee yang memungkinkan permintaan HTTP/2 menjangkau Apigee Ingress akan terpengaruh. Pelanggan harus memverifikasi apakah load balancer yang menghadap ke ingress hybrid Apigee memungkinkan permintaan HTTP/2 menjangkau layanan Apigee Ingress.
Apigee Edge untuk Private Cloud

Komponen router dan server pengelolaan Edge for Private Cloud terekspos ke internet dan berpotensi rentan. Meskipun HTTP/2 diaktifkan di port pengelolaan komponen khusus Edge lainnya di Edge untuk Private Cloud, tidak ada komponen tersebut yang terekspos ke internet. Pada komponen non-Edge, seperti Cassandra, Zookeeper, dan lainnya, HTTP/2 tidak diaktifkan. Sebaiknya lakukan langkah-langkah dalam Masalah umum pada Edge for Private Cloud guna mengatasi kerentanan Edge untuk Private Cloud.

Produk yang tidak terpengaruh

Apigee X

Instance Apigee X yang hanya diakses melalui Load Balancer Aplikasi Google Cloud (Layer 7) tidak akan terpengaruh. Ini mencakup deployment yang mengaktifkan HTTP/2 untuk proxy gRPC.
Gateway API Google Cloud

Gateway API Google Cloud tidak terpengaruh.
Cloud Apigee Edge

Apigee Edge Cloud tidak terpengaruh oleh kerentanan ini.

Apa yang Harus Saya Lakukan?

Apigee X

Update 3 November 2023: kerentanan telah diatasi melalui update pada instance Apigee X yang dirilis pada 13 Oktober 2023. Lihat Catatan rilis untuk mengetahui detailnya.
Apigee Hybrid

Pelanggan Apigee Hybrid harus mengupgrade ke salah satu versi patch berikut:
- v1.10.3-hotfix.2 dirilis pada Jumat, 13 Oktober 2023
- v1.9.4-hotfix.1 dirilis pada Jumat, 13 Oktober 2023
Apigee Edge untuk Private Cloud

Pengguna Apigee Edge untuk Private Cloud dapat mengikuti petunjuk yang dipublikasikan di Masalah umum pada Edge untuk Private Cloud terkait penonaktifan eksplisit HTTP/2 untuk komponen yang terekspos.

Kerentanan Apa yang Dapat diatasi oleh Patch Ini?

Kerentanan CVE-2023-44487 dapat menyebabkan DoS fungsi pengelolaan API Apigee.

Tinggi

CVE-2023-44487