Questa pagina è stata tradotta dall'API Cloud Translation.

Bollettini sulla sicurezza

Di seguito sono descritti tutti i bollettini sulla sicurezza relativi ad Apigee.

Per ricevere i bollettini sulla sicurezza più recenti, procedi in uno dei seguenti modi:

Aggiungi l'URL di questa pagina al tuo lettore di feed.
Aggiungi l'URL del feed direttamente al tuo lettore di feed: https://cloud.google.com/feeds/apigee-security-bulletins.xml

GCP-2024-006

Pubblicato: 5/2/2024

Descrizione Gravità Note

Descrizione	Gravità	Note
Quando un proxy per la gestione delle API Apigee si connette a un endpoint di destinazione o a un server di destinazione, per impostazione predefinita non esegue la convalida del nome host per il certificato presentato dall'endpoint di destinazione o dal server di destinazione. Se la convalida del nome host non viene abilitata utilizzando una delle seguenti opzioni, i proxy Apigee che si connettono a un endpoint o a un server di destinazione potrebbero essere a rischio di un attacco man in the middle da parte di un utente autorizzato. Per maggiori informazioni, consulta Configurazione di TLS da Edge al backend (cloud e cloud privato). Prodotti interessati Sono interessati i deployment proxy Apigee sulle seguenti piattaforme Apigee: Apigee Edge per cloud pubblico Apigee Edge for Private Cloud Che cosa devo fare? Per abilitare questa convalida, i clienti possono utilizzare una delle seguenti opzioni: Opzione 1: aggiungi una configurazione al proxy Puoi attivare la convalida dell'endpoint di destinazione o del server di destinazione aggiungendo una configurazione `<CommonName>` alla sezione `SSLInfo` dell'elemento `<HTTPTargetConnection>` nella configurazione proxy, come mostrato di seguito: <HTTPTargetConnection> <SSLInfo> <Enabled>true</Enabled> <TrustStore>ref://mytruststoreref</TrustStore> <CommonName>.example.com</CommonName> </SSLInfo> <URL>https://my.example.com/</URL> </HTTPTargetConnection> Se questa configurazione è presente nell'elemento `<HTTPTargetConnection>` della configurazione del proxy, Apigee utilizzerà il valore specificato in `<CommonName>` per la convalida del nome host. In questo campo possono essere utilizzati caratteri jolly. Apigee consiglia questo approccio. Puoi testare i proxy singolarmente per confermare che la convalida funzioni come previsto, con un'interruzione minima del traffico. Per saperne di più su come testare la convalida dei nomi host nei proxy e visualizzare gli errori, consulta Utilizzo dello strumento Trace. Opzione 2: imposta un flag a livello di organizzazione* Puoi impostare un flag a livello di organizzazione Apigee per abilitare la convalida del nome host per tutti i proxy e le destinazioni di cui è stato eseguito il deployment nella tua organizzazione. Se il flag `features.strictSSLEnforcement` è impostato su `true` nelle proprietà dell'organizzazione, la convalida del nome host verrà applicata ogni volta che il proxy si connette a un endpoint o a un server di destinazione. Nota: anche se questa opzione può aiutarti ad abilitare la funzionalità in tutta l'organizzazione, possono verificarsi errori di convalida del nome host se le tue destinazioni non presentano i certificati previsti. Per i deployment Apigee Edge per il cloud pubblico: Contatta l'assistenza Google Cloud per richiedere l'impostazione del flag `features.strictSSLEnforcement` su `true` nelle proprietà dell'organizzazione. Nota: l'attivazione di questo flag applicherà il controllo SSL per tutti gli ambienti di un'organizzazione e per tutti i proxy di cui è stato eseguito il deployment all'interno di questi ambienti. Per i deployment di Apigee Edge per Private Cloud : Il flag `features.strictSSLEnforcement` può essere impostato su `true` dall'amministratore di sistema o dell'organizzazione. Per maggiori informazioni sull'impostazione del flag, vedi Aggiornare le proprietà dell'organizzazione. Nota: quando aggiorni i flag a livello di organizzazione utilizzando l'API Organization, assicurati di includere tutti i flag esistenti nella richiesta POST per evitare di sovrascrivere le impostazioni di configurazione precedenti. Una volta impostato il flag, ogni processore di messaggi deve essere riavviato singolarmente affinché la modifica abbia effetto. Utilizza il seguente comando: apigee-service edge-message-processor restart Per eseguire il rollback di questa modifica, utilizza la stessa API Organization per impostare il flag su `false`, quindi riavvia ogni processore di messaggi. Nota: l'attivazione di questo flag applicherà il controllo SSL per tutti gli ambienti di un'organizzazione e per tutti i proxy di cui è stato eseguito il deployment all'interno di questi ambienti. Tuttavia, se il criterio `<IgnoreValidationErrors>` è impostato su `true`, eventuali errori di convalida rilevati verranno ignorati. Apigee consiglia di implementare questa modifica prima negli ambienti non di produzione, per garantire che la convalida funzioni come previsto e non comporti interruzioni della produzione. Nel caso in cui la convalida del nome host non vada a buon fine per qualsiasi destinazione, viene restituito il seguente messaggio di errore: {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}	Alta

Quando un proxy per la gestione delle API Apigee si connette a un endpoint di destinazione o a un server di destinazione, per impostazione predefinita non esegue la convalida del nome host per il certificato presentato dall'endpoint di destinazione o dal server di destinazione. Se la convalida del nome host non viene abilitata utilizzando una delle seguenti opzioni, i proxy Apigee che si connettono a un endpoint o a un server di destinazione potrebbero essere a rischio di un attacco man in the middle da parte di un utente autorizzato. Per maggiori informazioni, consulta Configurazione di TLS da Edge al backend (cloud e cloud privato).

Prodotti interessati

Sono interessati i deployment proxy Apigee sulle seguenti piattaforme Apigee:

Apigee Edge per cloud pubblico
Apigee Edge for Private Cloud

Che cosa devo fare?

Per abilitare questa convalida, i clienti possono utilizzare una delle seguenti opzioni:

Opzione 1: aggiungi una configurazione al proxy

Puoi attivare la convalida dell'endpoint di destinazione o del server di destinazione aggiungendo una configurazione <CommonName> alla sezione SSLInfo dell'elemento <HTTPTargetConnection> nella configurazione proxy, come mostrato di seguito:

<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

Se questa configurazione è presente nell'elemento <HTTPTargetConnection> della configurazione del proxy, Apigee utilizzerà il valore specificato in <CommonName> per la convalida del nome host. In questo campo possono essere utilizzati caratteri jolly.

Apigee consiglia questo approccio. Puoi testare i proxy singolarmente per confermare che la convalida funzioni come previsto, con un'interruzione minima del traffico. Per saperne di più su come testare la convalida dei nomi host nei proxy e visualizzare gli errori, consulta Utilizzo dello strumento Trace.

Opzione 2: imposta un flag a livello di organizzazione

Puoi impostare un flag a livello di organizzazione Apigee per abilitare la convalida del nome host per tutti i proxy e le destinazioni di cui è stato eseguito il deployment nella tua organizzazione. Se il flag features.strictSSLEnforcement è impostato su true nelle proprietà dell'organizzazione, la convalida del nome host verrà applicata ogni volta che il proxy si connette a un endpoint o a un server di destinazione.

Nota: anche se questa opzione può aiutarti ad abilitare la funzionalità in tutta l'organizzazione, possono verificarsi errori di convalida del nome host se le tue destinazioni non presentano i certificati previsti.

Per i deployment Apigee Edge per il cloud pubblico:
Contatta l'assistenza Google Cloud per richiedere l'impostazione del flag features.strictSSLEnforcement su true nelle proprietà dell'organizzazione.

Nota: l'attivazione di questo flag applicherà il controllo SSL per tutti gli ambienti di un'organizzazione e per tutti i proxy di cui è stato eseguito il deployment all'interno di questi ambienti.
Per i deployment di Apigee Edge per Private Cloud :
Il flag features.strictSSLEnforcement può essere impostato su true dall'amministratore di sistema o dell'organizzazione. Per maggiori informazioni sull'impostazione del flag, vedi Aggiornare le proprietà dell'organizzazione.

Nota: quando aggiorni i flag a livello di organizzazione utilizzando l'API Organization, assicurati di includere tutti i flag esistenti nella richiesta POST per evitare di sovrascrivere le impostazioni di configurazione precedenti.

Una volta impostato il flag, ogni processore di messaggi deve essere riavviato singolarmente affinché la modifica abbia effetto. Utilizza il seguente comando:
```
apigee-service edge-message-processor restart
```
Per eseguire il rollback di questa modifica, utilizza la stessa API Organization per impostare il flag su false, quindi riavvia ogni processore di messaggi.

Nota: l'attivazione di questo flag applicherà il controllo SSL per tutti gli ambienti di un'organizzazione e per tutti i proxy di cui è stato eseguito il deployment all'interno di questi ambienti. Tuttavia, se il criterio <IgnoreValidationErrors> è impostato su true, eventuali errori di convalida rilevati verranno ignorati.

Apigee consiglia di implementare questa modifica prima negli ambienti non di produzione, per garantire che la convalida funzioni come previsto e non comporti interruzioni della produzione. Nel caso in cui la convalida del nome host non vada a buon fine per qualsiasi destinazione, viene restituito il seguente messaggio di errore:

{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

Alta

GCP-2023-032

Pubblicato: 13/10/2023

Ultimo aggiornamento: 3/11/2023

Descrizione	Gravità	Note
Aggiornamento 03/11/2023: è stato aggiunto un problema noto per Apigee Edge per il cloud privato. Una vulnerabilità denial of service (DoS) è stata recentemente scoperta in molteplici implementazioni del protocollo HTTP/2 (CVE-2023-44487), tra cui il servizio Apigee Ingress (Anthos Service Mesh) utilizzato da Apigee X e Apigee hybrid. La vulnerabilità potrebbe portare a un DoS della funzionalità di gestione delle API Apigee. Prodotti interessati Apigee X Sono interessati i deployment di Apigee X accessibili tramite un bilanciatore del carico di rete di Google Cloud (livello 4) o un bilanciatore del carico di livello 4 personalizzato. È stato applicato un aggiornamento rapido a tutte le istanze Apigee X. Apigee hybrid Sono interessate le istanze ibride di Apigee che consentono alle richieste HTTP/2 di raggiungere Apigee Ingress. I clienti dovrebbero verificare se i bilanciatori del carico che gestiscono le connessioni in entrata ibride di Apigee consentono alle richieste HTTP/2 di raggiungere il servizio Apigee Ingress. Apigee Edge for Private Cloud I componenti del router e del server di gestione Edge per Cloud privato sono esposti a internet e possono essere potenzialmente vulnerabili. Anche se HTTP/2 è abilitato sulla porta di gestione di altri componenti specifici di Edge per il cloud privato, nessuno di questi componenti è esposto a internet. Sui componenti non Edge, come Cassandra, Zookeeper e altri, HTTP/2 non è abilitato. Ti consigliamo di seguire i passaggi descritti in Problemi noti di Edge per cloud privato per risolvere la vulnerabilità di Edge per cloud privato. Prodotti non interessati Apigee X Le istanze Apigee X a cui si accede solo tramite gli Application Load Balancer (livello 7) di Google Cloud non sono interessate. Questo include i deployment con HTTP/2 abilitato per i proxy gRPC. Gateway API Google Cloud L'operazione non influisce su API Gateway Google Cloud. Apigee Edge Cloud Apigee Edge Cloud non è interessato da questa vulnerabilità. Che cosa devo fare? Apigee X Aggiornamento del 3 novembre 2023: la vulnerabilità è stata risolta tramite l'aggiornamento alle istanze Apigee X rilasciato il 13 ottobre 2023. Consulta le Note di rilascio per i dettagli. Apigee hybrid I clienti di Apigee hybrid dovranno eseguire l'upgrade a una delle seguenti versioni di patch: v1.10.3-hotfix.2 rilasciata venerdì 13 ottobre 2023 v1.9.4-hotfix.1 rilasciata venerdì 13 ottobre 2023 Apigee Edge for Private Cloud Gli utenti di Apigee Edge per il cloud privato possono seguire le istruzioni pubblicate in Problemi noti con Edge per il cloud privato per la disattivazione esplicita di HTTP/2 per i componenti esposti. Quali vulnerabilità vengono affrontate da queste patch? La vulnerabilità CVE-2023-44487 potrebbe causare un DoS della funzionalità di gestione delle API Apigee.	Alta	CVE-2023-44487

Descrizione

Gravità

Note

Aggiornamento 03/11/2023: è stato aggiunto un problema noto per Apigee Edge per il cloud privato.

Una vulnerabilità denial of service (DoS) è stata recentemente scoperta in molteplici implementazioni del protocollo HTTP/2 (CVE-2023-44487), tra cui il servizio Apigee Ingress (Anthos Service Mesh) utilizzato da Apigee X e Apigee hybrid. La vulnerabilità potrebbe portare a un DoS della funzionalità di gestione delle API Apigee.

Prodotti interessati

Apigee X

Sono interessati i deployment di Apigee X accessibili tramite un bilanciatore del carico di rete di Google Cloud (livello 4) o un bilanciatore del carico di livello 4 personalizzato. È stato applicato un aggiornamento rapido a tutte le istanze Apigee X.
Apigee hybrid

Sono interessate le istanze ibride di Apigee che consentono alle richieste HTTP/2 di raggiungere Apigee Ingress. I clienti dovrebbero verificare se i bilanciatori del carico che gestiscono le connessioni in entrata ibride di Apigee consentono alle richieste HTTP/2 di raggiungere il servizio Apigee Ingress.
Apigee Edge for Private Cloud

I componenti del router e del server di gestione Edge per Cloud privato sono esposti a internet e possono essere potenzialmente vulnerabili. Anche se HTTP/2 è abilitato sulla porta di gestione di altri componenti specifici di Edge per il cloud privato, nessuno di questi componenti è esposto a internet. Sui componenti non Edge, come Cassandra, Zookeeper e altri, HTTP/2 non è abilitato. Ti consigliamo di seguire i passaggi descritti in Problemi noti di Edge per cloud privato per risolvere la vulnerabilità di Edge per cloud privato.

Prodotti non interessati

Apigee X

Le istanze Apigee X a cui si accede solo tramite gli Application Load Balancer (livello 7) di Google Cloud non sono interessate. Questo include i deployment con HTTP/2 abilitato per i proxy gRPC.
Gateway API Google Cloud

L'operazione non influisce su API Gateway Google Cloud.
Apigee Edge Cloud

Apigee Edge Cloud non è interessato da questa vulnerabilità.

Che cosa devo fare?

Apigee X

Aggiornamento del 3 novembre 2023: la vulnerabilità è stata risolta tramite l'aggiornamento alle istanze Apigee X rilasciato il 13 ottobre 2023. Consulta le Note di rilascio per i dettagli.
Apigee hybrid

I clienti di Apigee hybrid dovranno eseguire l'upgrade a una delle seguenti versioni di patch:
- v1.10.3-hotfix.2 rilasciata venerdì 13 ottobre 2023
- v1.9.4-hotfix.1 rilasciata venerdì 13 ottobre 2023
Apigee Edge for Private Cloud

Gli utenti di Apigee Edge per il cloud privato possono seguire le istruzioni pubblicate in Problemi noti con Edge per il cloud privato per la disattivazione esplicita di HTTP/2 per i componenti esposti.

Quali vulnerabilità vengono affrontate da queste patch?

La vulnerabilità CVE-2023-44487 potrebbe causare un DoS della funzionalità di gestione delle API Apigee.

Alta

CVE-2023-44487