| 2024.01.10 | PrivX 30.3 リリース |
|---|---|
| 2023.09.21 | PrivX 30.2 リリース |
| 2023.07.13 | PrivX 30.1リリース |
| 2023.07.03 | PrivX 30.0リリース |
PrivX 30.3リリース2024.01.10
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 30.3がリリースされました。
このリリースはTerrapinの脆弱性に対処するためのインクリメンタルリリースです。この修正には次の変更が含まれます。
- PrivX SSHプロキシとSSH Bastionは、ターゲットサーバーとクライアントが最初の鍵交換時にOpenSSHの厳格なKEXプロトコル拡張のサポートを表明した場合、これを有効にします。
- デフォルトのssh target及び、ssh clientの暗号化セットから、chacha20-poly1305@openssh.comアルゴリズムが削除されました。
- デフォルトのssh target及び、ssh clientのmacセットから、hmac-sha2-512-etm@openssh.com、hmac-sha2-256-etm@openssh.comアルゴリズムが削除されました。
opt/privx/etc/ssh-algorithms.tomlファイルを編集することで、脆弱なアルゴリズムの組み合わせを使用するように戻すことが可能になります。なお、この方法はPrivXが通信するすべてのサーバとクライアントがOpenSSHの厳格なKEXプロトコル拡張をサポートしているという確認がない限り、推奨されません。
PrivX 30.2リリース2023.09.21
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 30.2がリリースされました。
PrivX 30.2はセキュリティとバグ修正を含んだPrivX 30.1 のインクリメンタルリリースです。
- [PX-6244] 出力がクライアントに送信される前に、ssh-mitm exex接続でチャネルが閉じられることがある。
PrivX 30.1リリース2023.07.13
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 30.1がリリースされました。
PrivX 30.1 はPrivX 30.0 のインクリメンタルリリースです。このリリースにはいくつかの重要なバグ修正が含まれています。
- [PX-6087] rdp-proxy がランタイムエラーでクラッシュする可能性がある。
- [PX-6085] 致命的なエラーを伴うrole-storeのクラッシュが発生する。
- [PX-6076] privx-carrierのステータス更新が遅いメモリリークを引き起こす。
PrivX 30.0リリース2023.07.03
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 30.0がリリースされました。
重要なお知らせ
●Azure-Directory の MS Graph への移行について
Azure AD Graph APIを使用してAzureユーザー/ホストディレクトリを設定している場合、本バージョンにアップグレードすると、そのディレクトリは自動的にMS Graph APIを使用するように移行されます。アップグレード後も、Azure PortalでPrivXアプリの以下のAPIパーミッションを手動で設定する必要があります。
Microsoft Graph→Application Permissions
- User.Read.All
- Groups.Read.All
Azure AD Graph APIは、2023年6月に非推奨となります。
MS GraphによるAzureディレクトリの設定の詳細については、Microsoft Graph APIによるAzure AD as a User Directoryをご覧ください。
●PrivX のパフォーマンスを最適化するために必要なアクション
PrivX のパフォーマンスを最適化するための継続的な取り組みの一環として、PrivX 28 から追加のインデックス作成サポートを導入しました。一部の改善には、PrivX データベースのpg_trgm拡張が必要です。
アップグレードする前に、以下をご参照ください。
https://privx.docs.ssh.com/docs/improve-performance-with-indexing
非推奨の警告
●Redisサポート終了の予定
PostgreSQL PrivXのマイクロサービス間通知を使用することをお勧めします。PrivX が通知メカニズムに Redis を使用している場合は、通知メカニズムを PostgreSQL に変更してください。Redis のサポートは将来のリリースで終了予定です。
通知メカニズムの変更方法は以下をご参照下さい。
https://privx.docs.ssh.com/docs/changing-notification-mechanism-to-postgresql
●PostgreSQL 9.x および 10.x サポート終了のお知らせ
PostgreSQL 9.xと10.xは、それぞれ2021年と2022年にサポートが終了し、これらのデータベースバージョンのサポートは、今後のPrivXリリースで廃止される予定です。
●SHA-1-証明書のサポート終了が迫っています。
SHA-1で署名された証明書のサポートは、今後のPrivXのリリースでは廃止される予定です。
デフォルトでは、自己署名証明書でない限り、PrivX はSHA-1 署名を持つ証明書を信頼しません。このような証明書の信頼を再度有効にするには、PrivX マイクロ サービスとツールの環境変数GODEBUG=x509sha1=1を設定する必要があります。
SHA-1 に対する実際的な攻撃は 2017 年に実証されており、公的に信頼されている認証局は 2015 年以降 SHA-1 証明書を発行していません。
●privx-cmd および PrivX エージェントの古い Windows バージョンのサポートが終了
2023年第3四半期以降にリリースされる privx-cmd およびエージェントでは、Windows 7、8、Server 2008、および Server 2012 のサポートを終了する可能性があります。 privx-cmd、または Windows バージョンの PrivX エージェントを使用した直接接続による Windows 上のネイティブ SSH クライアントを使用している場合は、Windows を更新してください。
新機能
新機能は以下になります。
- [PX-4465] PrivXを介したデータベースへのアクセス。
ユーザーは、クライアント-PrivX SSHバスチオン間の SSH トンネルを介してターゲット・データベースに接続できます。
詳細は以下をご参照ください。
https://privx.docs.ssh.com/v30/docs/database-connections-with-native-clients - [PX-5163] Web Carrier経由のWebターゲットへのPrivX OIDC SSO
Web サービスが OIDC 認証をサポートしている場合は、PrivX を OIDC アイデンティティ プロバイダーとして使用するように Web サービスを構成できます。
詳細は以下をご参照ください。
https://privx.docs.ssh.com/v30/docs/setting-up-known-targets#web-targets - [PX-5889] Web Carrier上のChromiumブラウザは、パスワードマネージャをサポートしています。
- [PX-3971] ユーザーと API クライアントに基づく PrivX ライセンス モデル。
詳細は以下をご参照ください。
https://privx.docs.ssh.com/v30/docs/license-management#users
メーカーリリースノート
その他、本バージョンへのアップグレードパスや機能改善、既知の不具合情報については、以下URLをご参照ください。
https://privx.docs.ssh.com/v30/docs/release-notes-for-this-release