Veja a seguir todos os boletins de segurança relacionados à Apigee.
Para receber os boletins de segurança mais recentes, siga um destes procedimentos:
- Adicione o URL desta página ao seu leitor de feeds
- Adicione o URL do feed diretamente ao seu leitor de feeds:
https://cloud.google.com/feeds/apigee-security-bulletins.xml
GCP-2024-006
Publicado: 02/05/2024
Descrição | Gravidade | Observações |
---|---|---|
Quando um proxy de gerenciamento de APIs da Apigee se conecta a um endpoint de destino ou servidor de destino, o proxy não realiza a validação do nome do host para o certificado apresentado pelo endpoint ou servidor de destino por padrão. Se a validação do nome do host não estiver ativada usando uma das opções a seguir, os proxies da Apigee que se conectam a um endpoint ou servidor de destino poderão estar em risco de um ataque "man-in-the-middle" por um usuário autorizado. Para mais informações, consulte Como configurar o TLS da borda para o back-end (nuvem e nuvem privada). Produtos afetados As implantações de proxy da Apigee nas seguintes plataformas da Apigee foram afetadas:
O que devo fazer? Os clientes podem usar uma das seguintes opções para ativar a validação: Opção 1: adicionar uma configuração ao proxy Para ativar a validação do endpoint ou servidor de destino, adicione uma configuração
<HTTPTargetConnection>
<SSLInfo>
<Enabled>true</Enabled>
<TrustStore>ref://mytruststoreref</TrustStore>
<CommonName>*.example.com</CommonName>
</SSLInfo>
<URL>https://my.example.com/</URL>
</HTTPTargetConnection>
Se essa configuração estiver presente no elemento A Apigee recomenda essa abordagem. É possível testar os proxies individualmente para confirmar se a validação está funcionando conforme o esperado, com possível interrupção mínima do tráfego. Para saber mais sobre como testar a validação do nome do host nos proxies e verificar as falhas, consulte Como usar a ferramenta de rastreamento. Opção 2: definir uma flag no nível da organização É possível definir uma flag no nível da organização da Apigee para ativar a validação do nome do host em todos os proxies e destinos implantados na organização. Se a flag Observação: embora essa opção possa ajudar a ativar o recurso em toda a organização, poderão ocorrer falhas na validação do nome do host se os destinos não apresentarem os certificados esperados.
A Apigee recomenda implementar essa mudança primeiro em ambientes que não sejam de produção, para garantir que a validação funcione conforme o esperado e não resulte em interrupções na produção. Caso a validação do nome do host falhe para algum destino, a seguinte mensagem de falha será retornada: {"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}} |
Alto |
GCP-2023-032
Publicado: 2023-10-13
Atualizado em: 03/11/2023
Descrição | Gravidade | Observações |
---|---|---|
Atualização de 03/11/2023: foi adicionado um problema conhecido relacionado ao Apigee Edge para nuvem privada. Uma vulnerabilidade de negação de serviço (DoS) foi descoberta recentemente em várias implementações do protocolo HTTP/2 (CVE-2023-44487), incluindo o serviço de entrada da Apigee (Anthos Service Mesh) usado pela Apigee X e Apigee híbrida. A vulnerabilidade pode levar a um DoS da funcionalidade de gerenciamento da API Apigee. Produtos afetados
Produtos não afetados
O que devo fazer?
Quais vulnerabilidades serão corrigidas? A vulnerabilidade CVE-2023-44487 pode levar a um ataque de DoS na funcionalidade de gerenciamento da API Apigee. |
Alto | CVE-2023-44487 |