Buletin keamanan

Berikut adalah penjelasan buletin keamanan yang terkait dengan Apigee.

Untuk mendapatkan buletin keamanan terbaru, lakukan salah satu hal berikut:

  • Tambahkan URL halaman ini terhadap pembaca feed Anda.
  • Tambahkan URL feed langsung ke pembaca feed Anda: https://cloud.google.com/feeds/apigee-security-bulletins.xml

GCP-2025-023

Dipublikasikan: 05-05-2025

Deskripsi Keparahan Catatan

Buletin ini membahas potensi celah keamanan yang dapat dieksploitasi jika tidak ditangani dalam kebijakan JavaCallout dan PythonScript yang ditemukan dan ditangani. Kebijakan ini dapat menyebabkan eksekusi kode jarak jauh (RCE) dan eskalasi hak istimewa yang tidak sah dalam lingkungan runtime Apigee. Eksploitasi yang mungkin terjadi ini memerlukan akses pengguna resmi internal (pengguna yang memiliki hak istimewa untuk men-deploy proxy) untuk dieksploitasi. Potensi kerentanan ini berasal dari sandboxing yang tidak memadai untuk skenario seperti akses dengan refleksi dan objek izin spoofing untuk melewati pengelola keamanan.

Produk yang Terpengaruh

Dampak terbatas pada kebijakan JavaCallout dan PythonScript. Hal ini mencakup deployment di platform Apigee berikut:

  • Apigee
  • Apigee Edge untuk Public Cloud
  • Apigee hybrid
  • Apigee Edge untuk Private Cloud

Apa yang Harus Saya Lakukan?

Lakukan tindakan berikut untuk setiap produk yang terpengaruh:

Apigee

Pelanggan yang menggunakan Apigee versi Google Cloud tidak perlu melakukan tindakan apa pun. Perbaikan kerentanan telah diterapkan pada rilis Apigee 1-14-0-apigee-8.

Jika tim rilis tidak dapat meluncurkan rilis untuk organisasi Anda, TAM atau perwakilan dukungan akan menghubungi Anda untuk memperbaiki paket proxy JavaCallout yang terpengaruh.

Apigee hybrid

Anda harus mengupgrade ke salah satu rilis patch keamanan berikut:

Versi utama hybrid Rilis patch keamanan untuk versi minor yang terpengaruh
1.12 1.12.4
1.13 1.13.3
1,14 1.14.1
1,11 1.11.2 hotfix3
Tinggi

Apigee Edge untuk Public Cloud

Pelanggan Apigee Edge tidak perlu melakukan tindakan apa pun. Perbaikan telah diterapkan ke runtime Edge terbaru. Jika Anda adalah pelanggan yang tidak dapat diupdate ke rilis Edge terbaru karena item tindakan tertunda yang diketahui, perwakilan dukungan pelanggan akan menghubungi Anda.

Apigee Edge untuk Private Cloud

Jika Anda adalah pengguna Edge untuk Private Cloud, Anda harus meninjau kebijakan JavaCallout dan PythonScript untuk memastikan Anda menggunakan kode dan library dari sumber tepercaya. Modifikasi pada kebijakan tersebut memerlukan akses resmi internal (pengguna yang memiliki izin untuk men-deploy proxy), jadi sebaiknya Anda mengaudit izin untuk memastikan hanya pengguna tepercaya yang mempertahankan akses tersebut. Perbaikan kerentanan telah diterapkan pada rilis Edge Private Cloud 4.52.02 dan 4.53.00.

GCP-2024-040

Dipublikasikan: 02-07-2024

Buletin ini mencakup detail khusus untuk setiap produk Apigee berikut:

Edge Public Cloud

Deskripsi Keparahan Catatan

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi persaingan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, Apigee Edge untuk Public Cloud tidak dapat dieksploitasi dan mitigasi telah dilakukan.

Meskipun CVE ini tidak dapat dieksploitasi, Apigee akan mengupgrade beban kerja untuk mengatasi CVE di atas.

Apa yang sebaiknya saya lakukan?

Pengguna Apigee tidak perlu melakukan tindakan apa pun.

Patching untuk workload akan dilakukan dalam beberapa hari mendatang dan buletin keamanan akan diperbarui setelah patching selesai.

 Kritis

Edge Private Cloud

Deskripsi Keparahan

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi persaingan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga memungkinkan penyerang mendapatkan akses root ke node VM. Pelanggan Edge Private Cloud memiliki dan mengelola VM/Host fisik tempat Edge Private Cloud di-deploy.

Versi Dampak
OpenSSH < 4.4p1 Rentang
4.4p1 <= OpenSSH < 8.5p1 Tidak Rentan
8.5p1 <= OpenSSH < 9.8p1 Rentang

Apa yang sebaiknya saya lakukan?

Tinjau versi OpenSSH dengan mengeluarkan perintah ssh -V dan validasi versi OpenSSH. Jika Anda menjalankan versi OpenSSH yang terpengaruh, update ke versi yang TIDAK rentan terhadap CVE ini. OpenSSH telah merilis 9.8p1 pada 1 Juli 2024.

 Kritis

Edge Microgateway

Deskripsi Keparahan Catatan

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi persaingan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga memungkinkan penyerang mendapatkan akses root ke node VM. Pelanggan Edge Microgateway memiliki dan mengelola VM/Host fisik tempat Edge Microgateway di-deploy.

Versi Dampak
OpenSSH < 4.4p1 Rentang
4.4p1 <= OpenSSH < 8.5p1 Tidak Rentan
8.5p1 <= OpenSSH < 9.8p1 Rentang

Apa yang sebaiknya saya lakukan?

Tinjau versi OpenSSH dengan mengeluarkan perintah ssh -V dan validasi versi OpenSSH. Jika Anda menjalankan versi OpenSSH yang terpengaruh, update ke versi yang TIDAK rentan terhadap CVE ini. OpenSSH telah merilis 9.8p1 pada 1 Juli 2024.

 Kritis

Apigee

Deskripsi Keparahan Catatan

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi persaingan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, Apigee tidak dapat dieksploitasi dan mitigasi telah dilakukan.

Meskipun CVE ini tidak dapat dieksploitasi, Apigee akan mengupgrade beban kerja untuk mengatasi CVE-2024-6387.

Apa yang sebaiknya saya lakukan?

Pengguna Apigee tidak perlu melakukan tindakan apa pun. Patching untuk workload akan dilakukan dalam beberapa hari mendatang dan buletin keamanan akan diperbarui setelah patching selesai.

Catatan: Jika Managed Instance Group di-deploy di project pelanggan untuk load balancing ke utara, khususnya InternalRouting (VPC) dan ExternalRouting (MIG), verifikasi versi OpenSSH yang diinstal di dalamnya. Jika versi tersebut rentan terhadap CVE, update sendiri ke OpenSSH versi 9.8p1 yang dirilis pada 1 Juli 2024, karena Apigee tidak mengelola MIG ini.

Kritis

Apigee hybrid

Deskripsi Keparahan Catatan

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi persaingan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga memungkinkan penyerang mendapatkan akses root ke node GKE. Pada saat publikasi, gambar hybrid tidak rentan karena OpenSSH tidak dikemas ke dalam salah satu gambar container hybrid. Namun, jika OS host/node GKE Anda berjalan dengan versi OpenSSH yang rentan di bawah, cluster hybrid Anda akan dapat dieksploitasi.

Versi Dampak
OpenSSH < 4.4p1 Rentang
4.4p1 <= OpenSSH < 8.5p1 Tidak Rentan
8.5p1 <= OpenSSH < 9.8p1 Rentang

Apa yang sebaiknya saya lakukan?

Masalah ini telah ditangani dalam Buletin Keamanan Google Cloud Customer Care GCP-2024-040.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

 Kritis

GCP-2024-006

Dipublikasikan: 05-02-2024

Deskripsi Keparahan Catatan

Saat proxy Pengelolaan API Apigee terhubung ke target endpoint atau target server, proxy tidak melakukan validasi nama host untuk sertifikat yang diberikan oleh target endpoint atau target server secara default. Jika validasi nama host tidak diaktifkan menggunakan salah satu opsi berikut, proxy Apigee yang terhubung ke endpoint target atau server target mungkin berisiko mengalami serangan man-in-the-middle oleh pengguna yang sah. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Private Cloud).

Produk yang Terpengaruh

Deployment proxy Apigee di platform Apigee berikut terpengaruh:

  • Apigee Edge untuk Public Cloud
  • Apigee Edge untuk Private Cloud

Apa yang Harus Saya Lakukan?

Pelanggan dapat menggunakan salah satu opsi berikut untuk mengaktifkan validasi ini:

Opsi 1 - Menambahkan konfigurasi ke proxy

Anda dapat mengaktifkan validasi endpoint target atau server target dengan menambahkan konfigurasi <CommonName> ke bagian SSLInfo elemen <HTTPTargetConnection> dalam konfigurasi proxy seperti yang ditunjukkan:

<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

Jika konfigurasi ini ada di elemen <HTTPTargetConnection> konfigurasi proxy Anda, Apigee akan menggunakan nilai yang ditentukan di <CommonName> untuk validasi nama host. Karakter pengganti dapat digunakan di kolom ini.

Apigee merekomendasikan pendekatan ini. Anda dapat menguji setiap proxy untuk mengonfirmasi bahwa validasi berjalan sesuai yang diinginkan, dengan potensi gangguan minimal pada traffic. Untuk mengetahui informasi selengkapnya tentang pengujian validasi nama host di proxy dan melihat kesalahan, lihat Menggunakan Alat Pelacakan.

Opsi 2 - Menetapkan tanda tingkat organisasi

Anda dapat menetapkan tanda tingkat organisasi Apigee untuk mengaktifkan validasi nama host bagi semua proxy dan target yang di-deploy di organisasi Anda. Jika tanda features.strictSSLEnforcement disetel ke true di properti org, validasi nama host akan diterapkan setiap kali proxy terhubung ke endpoint target atau server target.

Catatan: Meskipun opsi ini dapat membantu Anda mengaktifkan fitur di seluruh organisasi, kegagalan validasi nama host dapat terjadi jika target Anda tidak menampilkan sertifikat yang diharapkan.

  • Untuk deployment Apigee Edge untuk Public Cloud:

    Hubungi Google Cloud Dukungan untuk menyetel tanda features.strictSSLEnforcement ke true di properti org.

    Catatan: Mengaktifkan tanda ini akan menerapkan pemeriksaan SSL untuk semua lingkungan dalam organisasi dan semua proxy yang di-deploy dalam lingkungan tersebut.

  • Untuk deployment Apigee Edge untuk Private Cloud :

    Flag features.strictSSLEnforcement dapat disetel ke true oleh administrator organisasi atau sistem. Untuk mengetahui informasi selengkapnya tentang menyetel flag, lihat Memperbarui properti organisasi.

    Catatan: Saat memperbarui tanda tingkat organisasi menggunakan Organizations API, pastikan untuk menyertakan semua tanda yang ada dalam permintaan POST Anda untuk menghindari penimpaan setelan konfigurasi sebelumnya.

    Setelah tanda ditetapkan, setiap pemroses pesan harus dimulai ulang satu per satu agar perubahan diterapkan. Gunakan perintah berikut:

    apigee-service edge-message-processor restart

    Untuk mengembalikan perubahan ini, gunakan Organizations API yang sama untuk menyetel tanda ke false, lalu mulai ulang setiap pemroses pesan.

    Catatan: Mengaktifkan tanda ini akan menerapkan pemeriksaan SSL untuk semua lingkungan dalam organisasi dan semua proxy yang di-deploy dalam lingkungan tersebut. Namun, jika <IgnoreValidationErrors> disetel ke true, error validasi yang terdeteksi akan diabaikan.

Apigee merekomendasikan agar perubahan ini diterapkan terlebih dahulu di lingkungan non-produksi, untuk memastikan bahwa validasi berfungsi sebagaimana mestinya dan tidak menyebabkan gangguan produksi. Jika validasi hostname gagal untuk target mana pun, pesan kesalahan berikut akan ditampilkan:

{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}
 		Tinggi

GCP-2023-032

Dipublikasikan: 13-10-2023

Diperbarui: 03-11-2023

Deskripsi Keparahan Catatan

03-11-2023 Update: Menambahkan masalah umum untuk Apigee Edge for Private Cloud.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa penerapan protokol HTTP/2 (CVE-2023-44487), termasuk layanan Apigee Ingress (Cloud Service Mesh) yang digunakan oleh Apigee X dan Apigee Hybrid. Kerentanan tersebut dapat menyebabkan DoS pada fungsi pengelolaan API Apigee.

Produk yang Terpengaruh

  • Apigee X

    Deployment Apigee X yang dapat diakses melalui Google Cloud Network Load Balancer (Lapisan 4), atau load balancer lapisan 4 kustom, terpengaruh. Hotfix telah diterapkan ke semua instance Apigee X.

  • Apigee Hybrid

    Instance hybrid Apigee yang mengizinkan permintaan HTTP/2 mencapai Apigee Ingress terpengaruh. Pelanggan harus memverifikasi apakah load balancer yang berada di depan ingress hybrid Apigee mereka mengizinkan permintaan HTTP/2 untuk mencapai layanan Ingress Apigee.

  • Apigee Edge untuk Private Cloud

    Komponen router dan server pengelolaan Edge for Private Cloud diekspos ke internet dan berpotensi rentan. Meskipun HTTP/2 diaktifkan di port pengelolaan komponen khusus Edge lainnya dari Edge untuk Private Cloud, tidak ada komponen tersebut yang diekspos ke internet. Di komponen non-Edge, seperti Cassandra, Zookeeper, dan lainnya, HTTP/2 tidak diaktifkan. Sebaiknya lakukan langkah-langkah dalam Masalah umum terkait Edge untuk Private Cloud untuk mengatasi kerentanan Edge untuk Private Cloud.

Produk yang tidak terpengaruh

  • Apigee X

    Instance Apigee X yang diakses hanya melalui Google Cloud Load Balancer Aplikasi (Lapisan 7) tidak terpengaruh. Hal ini mencakup deployment yang telah mengaktifkan HTTP/2 untuk proxy gRPC.

  • Google Cloud Gateway API

    Google Cloud API Gateway tidak terpengaruh.

  • Apigee Edge Cloud

    Apigee Edge Cloud tidak terpengaruh oleh kerentanan ini.

Apa yang Harus Saya Lakukan?

  • Apigee X

    Pembaruan 3 November 2023: kerentanan telah diatasi melalui update pada instance Apigee X yang dirilis pada 13 Oktober 2023. Lihat Catatan rilis untuk mengetahui detailnya.

  • Apigee Hybrid

    Pelanggan Apigee Hybrid harus mengupgrade ke salah satu versi patch berikut:

  • Apigee Edge untuk Private Cloud

    Pengguna Apigee Edge untuk Private Cloud dapat mengikuti petunjuk yang dipublikasikan di Masalah umum terkait Edge untuk Private Cloud untuk menonaktifkan HTTP/2 secara eksplisit untuk komponen yang diekspos.

Kerentanan Apa yang Ditangani oleh Patch Ini?

Kerentanan, CVE-2023-44487, dapat menyebabkan DoS pada fungsi pengelolaan API Apigee.

Tinggi CVE-2023-44487