安全性公告

本公告說明瞭潛在的安全漏洞，如果未在已發現並解決的 JavaCallout 和 PythonScript 政策中解決這些漏洞，就可能遭到濫用。這些政策可能會導致未經授權的遠端程式碼執行 (RCE)，並在 Apigee 執行階段環境中提升權限。這些潛在的漏洞需要內部授權使用者存取權 (具有部署 Proxy 權限的使用者) 才能利用。這些潛在的安全漏洞源自於沙箱功能不足，無法處理透過反射和偽造權限物件存取的情況，以便規避安全性管理員。

受影響的產品

這項異動僅影響 JavaCallout 和 PythonScript 政策。這包括在下列 Apigee 平台上進行部署：

• Apigee
• 適用於公用雲端的 Apigee Edge
• Apigee Hybrid
• 私人雲端適用的 Apigee Edge

我該怎麼做？

請針對每項受影響的產品採取下列行動：

Apigee

使用 Google Cloud 版 Apigee 的客戶無須採取任何行動。 安全漏洞修正項目已套用至 Apigee 版本 1-14-0-apigee-8。

如果發布團隊無法為貴機構發布更新，客戶技術管理團隊或支援代表會與您聯絡，以修正任何受影響的 JavaCallout 代理程式套件。

Apigee Hybrid

您必須升級至下列任一安全性修補程式版本：

我們最近在 OpenSSH 中發現一個遠端程式碼執行漏洞 CVE-2024-6387。這個安全漏洞會利用競爭狀態，取得遠端殼層的存取權，讓攻擊者取得 GKE 節點的 root 存取權。在本公告發布時，Apigee Edge for Public Cloud 無法遭到濫用，且已採取因應措施。

雖然這個 CVE 無法遭到濫用，但 Apigee 會升級工作負載，以解決上述 CVE。

我該怎麼做？

Apigee 使用者不需要採取任何行動。

我們會在未來幾天內為工作負載進行修補，並在修補完成後更新安全性公告。

我們最近在 OpenSSH 中發現一個遠端程式碼執行漏洞 CVE-2024-6387。這個漏洞會利用競爭狀態，取得遠端殼層的存取權，讓攻擊者取得 VM 節點的根目錄存取權。Edge Private Cloud 客戶擁有並管理部署 Edge Private Cloud 的 VM/實體主機。

我該怎麼做？

請發出 ssh -V 指令並驗證 OpenSSH 版本，查看 OpenSSH 版本。如果您使用的是任何受影響的 OpenSSH 版本，請更新至不受此 CVE 漏洞影響的版本。OpenSSH 已在 2024 年 7 月 1 日發布 9.8p1。

我們最近在 OpenSSH 中發現一個遠端程式碼執行漏洞 CVE-2024-6387。這個漏洞會利用競爭狀態，取得遠端殼層的存取權，讓攻擊者取得 VM 節點的根目錄存取權。Edge Microgateway 客戶擁有並管理部署 Edge Microgateway 的 VM/實體主機。

我該怎麼做？

請發出指令 ssh -V 並驗證 OpenSSH 版本，以便查看 OpenSSH 版本。如果您使用的是任何受影響的 OpenSSH 版本，請更新至不受此 CVE 漏洞影響的版本。OpenSSH 已在 2024 年 7 月 1 日發布 9.8p1。

我們最近在 OpenSSH 中發現一個遠端程式碼執行漏洞 CVE-2024-6387。這個安全漏洞會利用競爭狀態，取得遠端殼層的存取權，讓攻擊者取得 GKE 節點的 root 存取權。在本文發布時，Apigee 已無法遭到濫用，且已採取因應措施。

雖然這個 CVE 無法遭到利用，但 Apigee 會升級工作負載，以解決 CVE-2024-6387 問題。

我該怎麼做？

Apigee 使用者不需要採取任何行動。我們會在未來幾天內為工作負載進行修補，並在修補完成後更新安全性公告。

注意：如果在客戶專案中部署受控執行個體群組，用於北向負載平衡 (特別是 InternalRouting (VPC) 和 ExternalRouting (MIG))，請確認這些群組已安裝 OpenSSH 版本。如果該版本容易受到 CVE 攻擊，請自行更新至 2024 年 7 月 1 日發布的 OpenSSH 9.8p1 版，因為 Apigee 不會管理這些 MIG。

我們最近在 OpenSSH 中發現一個遠端程式碼執行漏洞 CVE-2024-6387。這個漏洞會利用競爭狀態，取得遠端殼層的存取權，讓攻擊者取得 GKE 節點的 root 存取權。在本文發布時，混合式映像檔並未受到影響，因為 OpenSSH 並未封裝至任何混合式容器映像檔。不過，如果主機/GKE 節點 OS 執行的是下列有安全漏洞的 OpenSSH 版本，混合叢集就會遭到攻擊。

我該怎麼做？

這個問題已在 Google Cloud Customer Care 安全性公告 GCP-2024-040 中解決。

如需操作說明和更多詳細資訊，請參閱下列公告：

• GKE 安全性公告
• VMware 中的 GKE 安全性公告
• GKE on AWS 安全性公告
• Azure 上的 GKE 安全性公告
• GKE on Bare Metal 安全性公告
• AWS：尚未更新 (截至 2024 年 7 月 1 日太平洋時間下午 2 點 22 分)。請參閱 CVE-2024-6387 的公告頁面
• Azure：尚未更新 (截至 2024 年 7 月 1 日下午 2 點 22 分 (太平洋標準時間)。請參閱 CVE-2024-6387 的公告頁面
• OpenShift：OpenSSH 伺服器 (sshd) [CVE-2024-6387] | Red Hat Customer Portal

當 Apigee API Management Proxy 連線至目標端點或 目標伺服器時，Proxy 預設不會針對目標端點或目標伺服器提供的憑證執行主機名稱驗證。如果未使用下列任一選項啟用主機名稱驗證功能，連線至目標端點或目標伺服器的 Apigee Proxy 可能會遭到授權使用者中間人攻擊。詳情請參閱「從 Edge 到後端 (Cloud 和 Private Cloud) 設定 TLS」。

受影響的產品

以下 Apigee 平台上的 Apigee Proxy 部署作業受到影響：

• 適用於公用雲端的 Apigee Edge
• 私人雲端適用的 Apigee Edge

我該怎麼做？

客戶可以使用下列任一選項啟用這項驗證功能：

方法 1：在 Proxy 中新增設定

如要啟用目標端點或目標伺服器的驗證功能，請在Proxy 設定的 <HTTPTargetConnection> 元素 SSLInfo 部分新增 <CommonName> 設定，如下所示：

<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

如果 Proxy 設定的 <HTTPTargetConnection> 元素中包含這項設定，Apigee 就會使用 <CommonName> 中指定的值來驗證主機名稱。這個欄位可使用萬用字元。

Apigee 建議採用這種做法。您可以個別測試 Proxy，確認驗證功能是否正常運作，並盡量減少對流量造成的潛在中斷。如要進一步瞭解如何測試代理伺服器中的主機名稱驗證，以及查看錯誤，請參閱「使用追蹤記錄工具」。

選項 2：設定機構層級旗標

您可以設定 Apigee 機構層級標記，為貴機構中所有已部署的 Proxy 和目標啟用主機名稱驗證功能。如果組織屬性中的 features.strictSSLEnforcement 標記設為 true，則 Proxy 每次連線至目標端點或目標伺服器時，就會強制執行主機名稱驗證。

注意：雖然這個選項可協助您在整個機構中啟用這項功能，但如果目標未提供預期的憑證，就可能發生主機名稱驗證失敗的情況。

• 如為 Apigee Edge for Public Cloud 部署作業：

  請與Google Cloud 支援團隊聯絡，將機構屬性中的 features.strictSSLEnforcement 標記設為 true。

  注意：啟用這個標記後，系統會針對機構中的所有環境和在這些環境中部署的所有 Proxy，強制執行 SSL 檢查。

• 私人雲端適用的 Apigee Edge 部署：

  機構或系統管理員可以將 features.strictSSLEnforcement 標記設為 true。如要進一步瞭解如何設定標記，請參閱「更新機構屬性」。

  注意：使用 Organizations API 更新機構層級旗標時，請務必在 POST 要求中加入所有現有旗標，以免覆寫先前的設定。

  設定標記後，必須個別重新啟動每個訊息處理器，變更才會生效。使用下列指令：

  apigee-service edge-message-processor restart

  如要回復這項變更，請使用相同的 Organizations API 將標記設為 false，然後重新啟動每個訊息處理器。

  注意：啟用這個標記後，系統會針對機構中的所有環境和在這些環境中部署的所有 Proxy，強制執行 SSL 檢查。不過，如果 <IgnoreValidationErrors> 設為 true，系統就會忽略所有偵測到的驗證錯誤。

Apigee 建議您先在非實際工作環境中實作這項變更，確保驗證功能正常運作，且不會導致正式環境中斷。如果任何目標的主機名稱驗證失敗，系統會傳回以下錯誤訊息：

{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

2023-11-03 更新：新增 Apigee Edge for Private Cloud 的 已知問題。

我們最近在多個 HTTP/2 通訊協定 (CVE-2023-44487) 實作中發現阻斷服務 (DoS) 安全漏洞，包括 Apigee X 和 Apigee hybrid 使用的 Apigee Ingress (Cloud Service Mesh) 服務。這個安全漏洞可能會導致 Apigee API 管理功能遭到 DoS 攻擊。

受影響的產品

• Apigee X

  透過 Google Cloud 網路負載平衡器 (第 4 層) 或自訂第 4 層負載平衡器存取的 Apigee X 部署作業會受到影響。我們已將修 hotfix 套用至所有 Apigee X 例項。

• Apigee Hybrid

  允許 HTTP/2 要求存取 Apigee Ingress 的 Apigee Hybrid 執行個體會受到影響。客戶應確認 Apigee 混合式 Ingress 前端的負載平衡器是否允許 HTTP/2 要求存取 Apigee Ingress 服務。

• 私人雲端適用的 Apigee Edge

  Edge for Private Cloud 路由器和管理伺服器元件會暴露在網際網路上，因此可能會遭到入侵。雖然 Edge for Private Cloud 的其他 Edge 專屬元件的管理端口已啟用 HTTP/2，但這些元件都不會公開給網際網路。在非 Edge 元件 (例如 Cassandra、Zookeeper 等) 上，系統不會啟用 HTTP/2。建議您採取 Edge for Private Cloud 的已知問題中所述步驟，解決 Edge for Private Cloud 的安全漏洞問題。

不受影響的產品

• Apigee X

  僅透過 Google Cloud Application Load Balancers (第 7 層) 存取的 Apigee X 執行個體不受影響。這包括為 gRPC Proxy 啟用 HTTP/2 的部署作業。

• Google Cloud API Gateway

  Google Cloud API Gateway 不受影響。

• Apigee Edge Cloud

  Apigee Edge Cloud 不受這個安全漏洞影響。

我該怎麼做？

• Apigee X

  2023 年 11 月 3 日更新：我們已透過 2023 年 10 月 13 日發布的 Apigee X 執行個體更新解決此安全漏洞。詳情請參閱 版本資訊。

• Apigee Hybrid

  Apigee Hybrid 客戶必須升級至下列任一修補程式版本：

  • 第 1.10.3-hotfix.2 版於 2023 年 10 月 13 日星期五發布
  • v1.9.4-hotfix.1 於 2023 年 10 月 13 日星期五發布

• 私人雲端適用的 Apigee Edge

  Apigee Edge for Private Cloud 使用者可以按照「 Edge for Private Cloud 的已知問題」一文中提供的操作說明，明確停用公開元件的 HTTP/2。

這些修補程式修正了哪些安全漏洞？

CVE-2023-44487 漏洞可能會導致 Apigee API 管理功能遭到阻斷服務攻擊。