Di seguito sono descritti tutti i bollettini sulla sicurezza relativi ad Apigee.
Per ricevere i bollettini sulla sicurezza più recenti, procedi in uno dei seguenti modi:
- Aggiungi l'URL di questa pagina al tuo lettore di feed.
- Aggiungi l'URL del feed direttamente al tuo lettore di feed:
https://cloud.google.com/feeds/apigee-security-bulletins.xml
GCP-2024-006
Pubblicato: 5/2/2024
Descrizione | Gravità | Note |
---|---|---|
Quando un proxy per la gestione delle API Apigee si connette a un endpoint di destinazione o a un server di destinazione, per impostazione predefinita non esegue la convalida del nome host per il certificato presentato dall'endpoint di destinazione o dal server di destinazione. Se la convalida del nome host non viene abilitata utilizzando una delle seguenti opzioni, i proxy Apigee che si connettono a un endpoint o a un server di destinazione potrebbero essere a rischio di un attacco man in the middle da parte di un utente autorizzato. Per maggiori informazioni, consulta Configurazione di TLS da Edge al backend (cloud e cloud privato). Prodotti interessati Sono interessati i deployment proxy Apigee sulle seguenti piattaforme Apigee:
Che cosa devo fare? Per abilitare questa convalida, i clienti possono utilizzare una delle seguenti opzioni: Opzione 1: aggiungi una configurazione al proxy Puoi attivare la convalida dell'endpoint di destinazione o del server di destinazione aggiungendo una configurazione <HTTPTargetConnection>
<SSLInfo>
<Enabled>true</Enabled>
<TrustStore>ref://mytruststoreref</TrustStore>
<CommonName>*.example.com</CommonName>
</SSLInfo>
<URL>https://my.example.com/</URL>
</HTTPTargetConnection>
Se questa configurazione è presente nell'elemento Apigee consiglia questo approccio. Puoi testare i proxy singolarmente per confermare che la convalida funzioni come previsto, con un'interruzione minima del traffico. Per saperne di più su come testare la convalida dei nomi host nei proxy e visualizzare gli errori, consulta Utilizzo dello strumento Trace. Opzione 2: imposta un flag a livello di organizzazione Puoi impostare un flag a livello di organizzazione Apigee per abilitare la convalida del nome host per tutti i proxy e le destinazioni di cui è stato eseguito il deployment nella tua organizzazione. Se il flag Nota: anche se questa opzione può aiutarti ad abilitare la funzionalità in tutta l'organizzazione, possono verificarsi errori di convalida del nome host se le tue destinazioni non presentano i certificati previsti.
Apigee consiglia di implementare questa modifica prima negli ambienti non di produzione, per garantire che la convalida funzioni come previsto e non comporti interruzioni della produzione. Nel caso in cui la convalida del nome host non vada a buon fine per qualsiasi destinazione, viene restituito il seguente messaggio di errore: {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}} |
Alta |
GCP-2023-032
Pubblicato: 13/10/2023
Ultimo aggiornamento: 3/11/2023
Descrizione | Gravità | Note |
---|---|---|
Aggiornamento 03/11/2023: è stato aggiunto un problema noto per Apigee Edge per il cloud privato. Una vulnerabilità denial of service (DoS) è stata recentemente scoperta in molteplici implementazioni del protocollo HTTP/2 (CVE-2023-44487), tra cui il servizio Apigee Ingress (Anthos Service Mesh) utilizzato da Apigee X e Apigee hybrid. La vulnerabilità potrebbe portare a un DoS della funzionalità di gestione delle API Apigee. Prodotti interessati
Prodotti non interessati
Che cosa devo fare?
Quali vulnerabilità vengono affrontate da queste patch? La vulnerabilità CVE-2023-44487 potrebbe causare un DoS della funzionalità di gestione delle API Apigee. |
Alta | CVE-2023-44487 |