安全公告

此公告旨在解决 JavaCallout 和 PythonScript 政策中已发现和处理的潜在安全漏洞，若未及时处理，这些漏洞可能被利用。这些政策可能会导致 Apigee 运行时环境中出现未经授权的远程代码执行 (RCE) 和权限升级。这些可能的漏洞需要内部授权用户（有权部署代理的用户）才能利用。这些潜在的漏洞源于沙盒不足，例如通过反射进行访问和欺骗权限对象以绕过安全管理器。

受影响的产品

影响仅限于 JavaCallout 和 PythonScript 政策。这包括在以下 Apigee 平台上的部署：

• Apigee
• 适用于公有云的 Apigee Edge
• Apigee Hybrid
• 适用于私有云的 Apigee Edge

该怎么做？

针对每件受影响的商品执行以下操作：

Apigee

使用 Google Cloud 版 Apigee 的客户无需执行任何操作。已将漏洞修复应用于 Apigee 版本 1-14-0-apigee-8。

如果发布团队无法为您的组织推出版本，TAM 或支持代表会与您联系，以修复任何受影响的 JavaCallout 代理软件包。

Apigee Hybrid

您必须升级到以下某个安全补丁版本：

最近在 OpenSSH 中发现了一个远程代码执行漏洞 CVE-2024-6387。该漏洞使用的竞态条件可用于获取远程 shell 访问权限，使攻击者有可能获取 GKE 节点的 root 访问权限。在本文发布时，Apigee Edge for Public Cloud 无法被利用，并且已采取缓解措施。

尽管此 CVE 无法被利用，但 Apigee 仍会升级工作负载以解决上述 CVE。

该怎么做？

Apigee 用户无需执行任何操作。

我们将在未来几天内为工作负载打补丁，并在打补丁完成后更新安全公告。

最近在 OpenSSH 中发现了一个远程代码执行漏洞 CVE-2024-6387。该漏洞使用的竞态条件可用于获取远程 shell 访问权限，使攻击者有可能获取虚拟机节点的 root 访问权限。Edge Private Cloud 客户拥有并管理部署 Edge Private Cloud 的虚拟机/物理主机。

该怎么做？

通过发出命令 ssh -V 查看 OpenSSH 版本并验证 OpenSSH 版本。如果您在受影响的任何 OpenSSH 版本上运行，请更新到不受此 CVE 影响的版本。OpenSSH 于 2024 年 7 月 1 日发布了 9.8p1。

最近在 OpenSSH 中发现了一个远程代码执行漏洞 CVE-2024-6387。该漏洞使用的竞态条件可用于获取远程 shell 访问权限，使攻击者有可能获取虚拟机节点的 root 访问权限。Edge Microgateway 客户拥有并管理部署 Edge Microgateway 的虚拟机/物理主机。

该怎么做？

请通过发出命令 ssh -V 查看 OpenSSH 版本并验证 OpenSSH 版本。如果您运行的是受影响的 OpenSSH 版本，请更新到不受此 CVE 影响的版本。OpenSSH 于 2024 年 7 月 1 日发布了 9.8p1。

最近在 OpenSSH 中发现了一个远程代码执行漏洞 CVE-2024-6387。该漏洞使用的竞态条件可用于获取远程 shell 访问权限，使攻击者有可能获取 GKE 节点的 root 访问权限。在本文发布时，Apigee 无法被利用，并且已采取缓解措施。

尽管此 CVE 无法被利用，但 Apigee 仍会升级工作负载以解决 CVE-2024-6387。

该怎么做？

Apigee 用户无需执行任何操作。我们将在未来几天内为工作负载打补丁，并在打补丁完成后更新安全公告。

注意：如果托管式实例组已部署到客户项目中以实现北向负载均衡（具体而言是 InternalRouting [VPC] 和 ExternalRouting [MIG]），请验证其中安装的 OpenSSH 版本。如果该版本易受 CVE 影响，请自行更新到 2024 年 7 月 1 日发布的 OpenSSH 9.8p1 版，因为 Apigee 不会管理这些 MIG。

最近在 OpenSSH 中发现了一个远程代码执行漏洞 CVE-2024-6387。该漏洞使用的竞态条件可用于获取远程 shell 访问权限，使攻击者有可能获取 GKE 节点的 root 访问权限。在本文发布时，混合映像不存在漏洞，因为 OpenSSH 未打包到任何混合容器映像中。但是，如果您的主机/GKE 节点操作系统运行的是以下存在漏洞的 OpenSSH 版本，则您的混合集群将会容易受到攻击。

该怎么做？

此问题已在 Google Cloud Customer Care 安全公告 GCP-2024-040 中得到解决。

如需了解相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告
• AWS：尚无更新（截至 2024 年 7 月 1 日太平洋标准时间下午 2:22）。请参阅其公告页面，了解 CVE-2024-6387
• Azure：尚无更新（截至 2024 年 7 月 1 日太平洋标准时间下午 2:22）。请参阅其公告页面，了解 CVE-2024-6387
• OpenShift：OpenSSH 的服务器 (sshd) [CVE-2024-6387] | Red Hat 客户门户

当 Apigee API Management 代理连接到目标端点或目标服务器时，该代理不会对目标端点或目标服务器默认提供的证书执行主机名验证。如果未使用以下选项之一启用主机名验证，则连接到目标端点或目标服务器的 Apigee 代理可能会面临已获授权的用户发起中间人攻击的风险。如需了解详情，请参阅配置从 Edge 到后端（云和私有云）的 TLS。

受影响的产品

以下 Apigee 平台上的 Apigee 代理部署会受到影响：

• 适用于公有云的 Apigee Edge
• 适用于私有云的 Apigee Edge

该怎么做？

客户可以利用以下任一选项来启用此验证：

选项 1 - 将配置添加到代理

您可以通过将 <CommonName> 配置添加到代理配置中 <HTTPTargetConnection> 元素的 SSLInfo 部分来启用目标端点或目标服务器验证，如下所示：

<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

如果此配置已存在于代理配置的 <HTTPTargetConnection> 元素中，则 Apigee 会使用在 <CommonName> 中指定的值进行主机名验证。此字段中可以使用通配符。

Apigee 建议使用此方法。您可以单独测试代理，以确认验证按预期执行，同时将可能出现的流量中断降至最低。如需详细了解如何在代理中测试主机名验证并查看错误，请参阅使用跟踪工具。

选项 2 - 设置组织级标志

您可以设置 Apigee 组织级标志，以便为组织中所有已部署的代理和目标启用主机名验证。如果组织属性中的 features.strictSSLEnforcement 标志设置为 true，则每当代理连接到目标端点或目标服务器时，系统都会强制执行主机名验证。

注意：虽然此选项可以帮助您在整个组织中启用该功能，但如果您的目标未提供预期的证书，则可能会发生主机名验证失败。

• 对于适用于公有云的 Apigee Edge 部署：

  请与Google Cloud 支持团队联系，将组织属性中的 features.strictSSLEnforcement 标志设置为 true。

  注意：启用此标志会对组织中的所有环境以及在这些环境中部署的所有代理强制执行 SSL 检查。

• 对于适用于私有云的 Apigee Edge 部署：

  组织或系统管理员可以将 features.strictSSLEnforcement 标志设置为 true。如需详细了解如何设置此标志，请参阅更新组织属性。

  注意：使用 Organizations API 更新组织级标志时，请务必在 POST 请求中添加所有现有标志，以避免覆盖之前的配置设置。

  设置该标志后，您必须单独重启每个消息处理器，以使更改生效。使用以下命令：

  apigee-service edge-message-processor restart

  如需回滚此更改，请使用相同的 Organizations API 将此标志设置为 false，然后重启每个消息处理器。

  注意：启用此标志会对组织中的所有环境以及在这些环境中部署的所有代理强制执行 SSL 检查。但是，如果 <IgnoreValidationErrors> 设置为 true，则检测到的任何验证错误都会被忽略。

Apigee 建议先在非生产环境中实现此更改，以确保验证按预期执行，并且不会导致生产环境服务中断。如果任何目标的主机名验证失败，则系统会返回以下错误消息：

{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

2023 年 11 月 3 日更新：添加了 Apigee Edge for Private Cloud 的已知问题。

最近在 HTTP/2 协议的多个实现中发现了拒绝服务 (DoS) 漏洞 (CVE-2023-44487)，包括 Apigee X 和 Apigee Hybrid 使用的 Apigee Ingress (Cloud Service Mesh) 服务。该漏洞可能会导致 Apigee API 管理功能遭受 DoS 攻击。

受影响的产品

• Apigee X

  可通过 Google Cloud 网络负载均衡器（第 4 层）或自定义第 4 层负载均衡器访问的 Apigee X 部署会受到影响。修补程序已应用于所有 Apigee X 实例。

• Apigee Hybrid

  允许 HTTP/2 请求到达 Apigee Ingress 的 Apigee Hybrid 实例会受到影响。客户应验证其 Apigee Hybrid Ingress 前端的负载均衡器是否允许 HTTP/2 请求到达 Apigee Ingress 服务。

• Apigee Edge for Private Cloud

  Edge for Private Cloud 路由器和管理服务器组件会向互联网公开，因此可能容易受到攻击。虽然 Edge for Private Cloud 的其他 Edge 专用组件的管理端口上启用了 HTTP/2，但这些组件都不会向互联网公开。在非 Edge 组件（如 Cassandra、Zookeeper 等）上，未启用 HTTP/2。我们建议您按照 Edge for Private Cloud 的已知问题中的步骤解决 Edge for Private Cloud 漏洞。

不受影响的产品

• Apigee X

  仅通过 Google Cloud应用负载均衡器（第 7 层）访问的 Apigee X 实例不受影响。这包括为 gRPC 代理启用了 HTTP/2 的部署。

• Google Cloud API Gateway

  Google Cloud API Gateway 不受影响。

• Apigee Edge Cloud

  Apigee Edge Cloud 不受此漏洞的影响。

该怎么做？

• Apigee X

  2023 年 11 月 3 日更新：2023 年 10 月 13 日发布的 Apigee X 实例更新解决了该漏洞。如需了解详情，请参阅版本说明。

• Apigee Hybrid

  Apigee Hybrid 客户需要升级到以下补丁程序版本之一：

  • v1.10.3-hotfix.2（于 2023 年 10 月 13 日星期五发布）
  • v1.9.4-hotfix.1（于 2023 年 10 月 13 日星期五发布）

• Apigee Edge for Private Cloud

  Apigee Edge for Private Cloud 用户可以按照 Edge for Private Cloud 的已知问题中的说明明确停用公开组件的 HTTP/2。

这些补丁解决了哪些漏洞？

该漏洞 CVE-2023-44487 可能会导致 Apigee API 管理功能遭受 DoS 攻击。