安全公告

当 Apigee API Management 代理连接到目标端点或目标服务器时，该代理不会对目标端点或目标服务器默认提供的证书执行主机名验证。如果未使用以下选项之一启用主机名验证，则连接到目标端点或目标服务器的 Apigee 代理可能会面临已获授权的用户发起中间人攻击的风险。如需了解详情，请参阅配置从 Edge 到后端（云和私有云）的 TLS。

受影响的产品

以下 Apigee 平台上的 Apigee 代理部署会受到影响：

• 适用于公有云的 Apigee Edge
• 适用于私有云的 Apigee Edge

该怎么做？

客户可以利用以下任一选项来启用此验证：

选项 1 - 将配置添加到代理

您可以通过将 <CommonName> 配置添加到代理配置中 <HTTPTargetConnection> 元素的 SSLInfo 部分来启用目标端点或目标服务器验证，如下所示：

<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

如果此配置已存在于代理配置的 <HTTPTargetConnection> 元素中，则 Apigee 会使用在 <CommonName> 中指定的值进行主机名验证。此字段中可以使用通配符。

Apigee 建议使用此方法。您可以单独测试代理，以确认验证按预期执行，同时将可能出现的流量中断降至最低。如需详细了解如何在代理中测试主机名验证并查看错误，请参阅使用跟踪工具。

选项 2 - 设置组织级标志

您可以设置 Apigee 组织级标志，以便为组织中所有已部署的代理和目标启用主机名验证。如果组织属性中的 features.strictSSLEnforcement 标志设置为 true，则每当代理连接到目标端点或目标服务器时，系统都会强制执行主机名验证。

注意：虽然此选项可以帮助您在整个组织中启用该功能，但如果您的目标未提供预期的证书，则可能会发生主机名验证失败。

• 对于适用于公有云的 Apigee Edge 部署：

  请与 Google Cloud 支持团队联系，将组织属性中的 features.strictSSLEnforcement 标志设置为 true。

  注意：启用此标志会对组织中的所有环境以及这些环境中部署的所有代理强制执行 SSL 检查。

• 对于适用于私有云的 Apigee Edge 部署：

  features.strictSSLEnforcement 标志可以由组织或系统管理员设置为 true。如需详细了解如何设置此标志，请参阅更新组织属性。

  注意：使用 Organizations API 更新组织级标志时，请务必在 POST 请求中添加所有现有标志，以避免覆盖之前的配置设置。

  设置该标志后，您必须单独重启每个消息处理器，以使更改生效。使用以下命令：

  
  apigee-service edge-message-processor restart

  如需回滚此更改，请使用相同的 Organizations API 将此标志设置为 false，然后重启每个消息处理器。

  注意：启用此标志会对组织中的所有环境以及这些环境中部署的所有代理强制执行 SSL 检查。但是，如果 <IgnoreValidationErrors> 设置为 true，则检测到的任何验证错误都会被忽略。

Apigee 建议先在非生产环境中实现此更改，以确保验证按预期执行，并且不会导致生产环境服务中断。如果任何目标的主机名验证失败，则系统会返回以下错误消息：

{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

2023 年 11 月 3 日更新：添加了 Apigee Edge for Private Cloud 的已知问题。

最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-44487)，包括 Apigee X 和 Apigee Hybrid 使用的 Apigee Ingress (Anthos Service Mesh) 服务。该漏洞可能会导致 Apigee API 管理功能遭受 DoS 攻击。

受影响的产品

• Apigee X

  可通过 Google Cloud 网络负载均衡器（第 4 层）或自定义第 4 层负载均衡器访问的 Apigee X 部署会受到影响。修补程序已应用于所有 Apigee X 实例。

• Apigee Hybrid

  允许 HTTP/2 请求到达 Apigee Ingress 的 Apigee Hybrid 实例会受到影响。客户应验证其 Apigee Hybrid Ingress 前端的负载均衡器是否允许 HTTP/2 请求到达 Apigee Ingress 服务。

• Apigee Edge for Private Cloud

  Edge for Private Cloud 路由器和管理服务器组件会向互联网公开，因此可能容易受到攻击。虽然 Edge for Private Cloud 的其他 Edge 专用组件的管理端口上启用了 HTTP/2，但这些组件都不会向互联网公开。在非 Edge 组件（如 Cassandra、Zookeeper 等）上，未启用 HTTP/2。我们建议您按照 Edge for Private Cloud 的已知问题中的步骤解决 Edge for Private Cloud 漏洞。

不受影响的产品

• Apigee X

  仅通过 Google Cloud 应用负载均衡器（第 7 层）访问的 Apigee X 实例不受影响。这包括为 gRPC 代理启用了 HTTP/2 的部署。

• Google Cloud API Gateway

  Google Cloud API Gateway 不受影响。

• Apigee Edge Cloud

  Apigee Edge Cloud 不受此漏洞的影响。

该怎么做？

• Apigee X

  2023 年 11 月 3 日更新：2023 年 10 月 13 日发布的 Apigee X 实例更新解决了该漏洞。如需了解详情，请参阅版本说明。

• Apigee Hybrid

  Apigee Hybrid 客户需要升级到以下补丁程序版本之一：

  • v1.10.3-hotfix.2（于 2023 年 10 月 13 日星期五发布）
  • v1.9.4-hotfix.1（于 2023 年 10 月 13 日星期五发布）

• Apigee Edge for Private Cloud

  Apigee Edge for Private Cloud 用户可以按照 Edge for Private Cloud 的已知问题中的说明明确停用公开组件的 HTTP/2。

这些补丁解决了哪些漏洞？

该漏洞 CVE-2023-44487 可能会导致 Apigee API 管理功能遭受 DoS 攻击。