发送反馈
安全公告
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
下文介绍了与 Apigee 相关的所有安全公告。
如需接收最新安全公告,请执行以下操作之一:
将此页面的网址添加到您的 Feed 阅读器 。
直接将 Feed 网址添加到您的 Feed 阅读器:https://cloud.google.com/feeds/apigee-security-bulletins.xml
GCP-2024-006
发布日期: 2024-2-5
说明
严重级别
Notes
当 Apigee API Management 代理连接到目标端点 或目标服务器 时,该代理不会对目标端点或目标服务器默认提供的证书执行主机名验证。如果未使用以下选项之一启用主机名验证,则连接到目标端点或目标服务器的 Apigee 代理可能会面临已获授权的用户发起中间人攻击的风险。如需了解详情,请参阅配置从 Edge 到后端(云和私有云)的 TLS 。
受影响的产品
以下 Apigee 平台上的 Apigee 代理部署会受到影响:
适用于公有云的 Apigee Edge
适用于私有云的 Apigee Edge
该怎么做?
客户可以利用以下任一选项来启用此验证:
选项 1 - 将配置添加到代理
您可以通过将 <CommonName>
配置添加到代理配置 中 <HTTPTargetConnection>
元素的 SSLInfo
部分来启用目标端点或目标服务器验证,如下所示:
<HTTPTargetConnection>
<SSLInfo>
<Enabled>true</Enabled>
<TrustStore>ref://mytruststoreref</TrustStore>
<CommonName>*.example.com</CommonName>
</SSLInfo>
<URL>https://my.example.com/</URL>
</HTTPTargetConnection>
如果此配置已存在于代理配置的 <HTTPTargetConnection>
元素中,则 Apigee 会使用在 <CommonName>
中指定的值进行主机名验证。此字段中可以使用通配符。
Apigee 建议使用此方法。您可以单独测试代理,以确认验证按预期执行,同时将可能出现的流量中断降至最低。如需详细了解如何在代理中测试主机名验证并查看错误,请参阅使用跟踪工具 。
选项 2 - 设置组织级标志
您可以设置 Apigee 组织级标志,以便为组织中所有已部署的代理和目标启用主机名验证。如果组织属性中的 features.strictSSLEnforcement
标志设置为 true
,则每当代理连接到目标端点或目标服务器时,系统都会强制执行主机名验证。
注意 :虽然此选项可以帮助您在整个组织中启用该功能,但如果您的目标未提供预期的证书,则可能会发生主机名验证失败。
对于适用于公有云的 Apigee Edge 部署:
请与 Google Cloud 支持团队 联系,将组织属性中的 features.strictSSLEnforcement
标志设置为 true
。
注意 :启用此标志会对组织中的所有环境以及这些环境中部署的所有代理强制执行 SSL 检查。
对于适用于私有云的 Apigee Edge 部署:
features.strictSSLEnforcement
标志可以由组织或系统管理员设置为 true
。如需详细了解如何设置此标志,请参阅更新组织属性 。
注意 :使用 Organizations API 更新组织级标志时,请务必在 POST 请求中添加所有 现有标志,以避免覆盖之前的配置设置。
设置该标志后,您必须单独重启每个消息处理器,以使更改生效。使用以下命令:
apigee-service edge-message-processor restart
如需回滚此更改,请使用相同的 Organizations API 将此标志设置为 false
,然后重启每个消息处理器。
注意 :启用此标志会对组织中的所有环境以及这些环境中部署的所有代理强制执行 SSL 检查。但是,如果 <IgnoreValidationErrors>
设置为 true
,则检测到的任何验证错误都会被忽略。
Apigee 建议先在非生产环境中实现此更改,以确保验证按预期执行,并且不会导致生产环境服务中断。如果任何目标的主机名验证失败,则系统会返回以下错误消息:
{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}
高
GCP-2023-032
发布日期: 2023-10-13
更新日期: 2023-11-03
说明
严重级别
备注
2023 年 11 月 3 日更新: 添加了 Apigee Edge for Private Cloud 的已知问题 。
最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-44487),包括 Apigee X 和 Apigee Hybrid 使用的 Apigee Ingress (Anthos Service Mesh) 服务。该漏洞可能会导致 Apigee API 管理功能遭受 DoS 攻击。
受影响的产品
Apigee X
可通过 Google Cloud 网络负载均衡器(第 4 层)或自定义第 4 层负载均衡器访问的 Apigee X 部署会受到影响。修补程序已应用于所有 Apigee X 实例。
Apigee Hybrid
允许 HTTP/2 请求到达 Apigee Ingress 的 Apigee Hybrid 实例会受到影响。客户应验证其 Apigee Hybrid Ingress 前端的负载均衡器是否允许 HTTP/2 请求到达 Apigee Ingress 服务。
Apigee Edge for Private Cloud
Edge for Private Cloud 路由器和管理服务器组件会向互联网公开,因此可能容易受到攻击。虽然 Edge for Private Cloud 的其他 Edge 专用组件的管理端口上启用了 HTTP/2,但这些组件都不会向互联网公开。在非 Edge 组件(如 Cassandra、Zookeeper 等)上,未启用 HTTP/2。我们建议您按照 Edge for Private Cloud 的已知问题 中的步骤解决 Edge for Private Cloud 漏洞。
不受影响的产品
Apigee X
仅通过 Google Cloud 应用负载均衡器(第 7 层)访问的 Apigee X 实例不受影响。这包括为 gRPC 代理启用了 HTTP/2 的部署。
Google Cloud API Gateway
Google Cloud API Gateway 不受影响。
Apigee Edge Cloud
Apigee Edge Cloud 不受此漏洞的影响。
该怎么做?
Apigee X
2023 年 11 月 3 日更新 :2023 年 10 月 13 日发布的 Apigee X 实例更新解决了该漏洞。如需了解详情,请参阅版本说明 。
Apigee Hybrid
Apigee Hybrid 客户需要升级到以下补丁程序版本之一:
Apigee Edge for Private Cloud
Apigee Edge for Private Cloud 用户可以按照 Edge for Private Cloud 的已知问题 中的说明明确停用公开组件的 HTTP/2。
这些补丁解决了哪些漏洞?
该漏洞 CVE-2023-44487 可能会导致 Apigee API 管理功能遭受 DoS 攻击。
高
CVE-2023-44487
发送反馈
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可 获得了许可,并且代码示例已根据 Apache 2.0 许可 获得了许可。有关详情,请参阅 Google 开发者网站政策 。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2024-02-16。
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻译问题"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"其他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"易于理解"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"解决了我的问题"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"其他"
}]
需要向我们提供更多信息?