| 2024.03.27 | PrivX 31.3リリース |
|---|---|
| 2024.01.10 | PrivX 31.2リリース |
| 2023.10.12 | PrivX 31.1.1リリース |
| 2023.09.21 | PrivX 31.1リリース |
| 2023.09.04 | PrivX 31.0リリース |
PrivX 31.3リリース2024.03.27
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX31.3がリリースされました。
このリリースはセキュリティとバグの修正を含むインクリメンタルリリースです。
PrivX 31.2リリース2024.01.10
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 31.2がリリースされました。
このリリースはTerrapinの脆弱性に対処するためのインクリメンタルリリースです。この修正には次の変更が含まれます。
- PrivX SSHプロキシとSSH Bastionは、ターゲットサーバーとクライアントが最初の鍵交換時にOpenSSHの厳格なKEXプロトコル拡張のサポートを表明した場合、これを有効にします。
- デフォルトのssh target及び、ssh clientの暗号化セットから、chacha20-poly1305@openssh.comアルゴリズムが削除されました。
- デフォルトのssh target及び、ssh clientのmacセットから、hmac-sha2-512-etm@openssh.com、hmac-sha2-256-etm@openssh.comアルゴリズムが削除されました。
opt/privx/etc/ssh-algorithms.tomlファイルを編集することで、脆弱なアルゴリズムの組み合わせを使用するように戻すことが可能になります。なお、この方法はPrivXが通信するすべてのサーバとクライアントがOpenSSHの厳格なKEXプロトコル拡張をサポートしているという確認がない限り、推奨されません。
PrivX 31.1.1リリース2023.10.12
このマイナーリリースでは、Carrierブラウザイメージ(chromium、chromium_lite、firefox、firefox_lite)が修正されています。アップグレードには新しいブラウザイメージをダウンロードし、現在のPrivX Carrierバージョンと一致するようにタグ付けすることが含まれます。
※ PrivXやPrivX Carrier/WebProxyは31.1を使用してください。
この例では、PrivX Carrier 31.1でChromiumコンテナイメージをアップグレードする方法を示します。
docker tag public.ecr.aws/sshprivx/privx_browser_chromium:31.1.1 public.ecr.aws/sshprivx/privx_browser_chromium:31.1
コマンド後にPrivX Carrierを再起動する必要はありません。
PrivX 31.1リリース2023.09.21
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 31.1がリリースされました。
PrivX 31.1 はセキュリティとバグ修正を含んだPrivX 31.0 のインクリメンタルリリースです。
- [PX-6244] 出力がクライアントに送信される前に、ssh-mitm exex接続でチャネルが閉じられることがある。
PrivX 31.0リリース2023.09.04
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 31.0がリリースされました。
重要なお知らせ
●Azure-Directory の MS Graph への移行について
Azure AD Graph APIを使用してAzureユーザー/ホストディレクトリを設定している場合、本バージョンにアップグレードすると、そのディレクトリは自動的にMS Graph APIを使用するように移行されます。アップグレード後も、Azure PortalでPrivXアプリの以下のAPIパーミッションを手動で設定する必要があります。
Microsoft Graph→Application Permissions
- User.Read.All
- Groups.Read.All
Azure AD Graph APIは、2023年6月に非推奨となりました。
MS GraphによるAzureディレクトリの設定の詳細については、Microsoft Graph APIによるAzure AD as a User Directoryをご覧ください。
●PrivX のパフォーマンスを最適化するために必要なアクション
PrivX のパフォーマンスを最適化するための継続的な取り組みの一環として、PrivX 28 から追加のインデックス作成サポートを導入しました。一部の改善には、PrivX データベースのpg_trgm拡張が必要です。
アップグレードする前に、以下をご参照ください。
https://privx.docs.ssh.com/v31/docs/improve-performance-with-indexing
非推奨の警告
●Redisサポート終了の予定
PostgreSQL PrivXのマイクロサービス間通知を使用することをお勧めします。PrivX が通知メカニズムに Redis を使用している場合は、通知メカニズムを PostgreSQL に変更してください。Redis のサポートは将来のリリースで終了予定です。
通知メカニズムの変更方法は以下をご参照下さい。
https://privx.docs.ssh.com/v31/docs/changing-notification-mechanism-to-postgresql
●PostgreSQL 9.x および 10.x サポート終了のお知らせ
PostgreSQL 9.xと10.xは、それぞれ2021年と2022年にサポートが終了します。
これらのデータベースバージョンのサポートは、今後のPrivXリリースで廃止される予定です。
●SHA-1-証明書のサポート終了が迫っています。
SHA-1で署名された証明書のサポートは、今後のPrivXのリリースでは廃止される予定です。
デフォルトでは、自己署名証明書でない限り、PrivX はSHA-1 署名を持つ証明書を信頼しません。このような証明書の信頼を再度有効にするには、PrivX マイクロ サービスとツールの環境変数 GODEBUG=x509sha1=1 を設定する必要があります。
SHA-1 に対する実際的な攻撃は 2017 年に実証されており、公的に信頼されている認証局は 2015 年以降 SHA-1 証明書を発行していません。
●privx-cmd および PrivX エージェントの古い Windows バージョンのサポートが終了
2023年第3四半期以降にリリースされる privx-cmd およびエージェントでは、Windows 7、8、Server 2008、および Server 2012 のサポートを終了する可能性があります。 privx-cmd、または Windows バージョンの PrivX エージェントを使用した直接接続による Windows 上のネイティブ SSH クライアントを使用している場合は、Windows を更新してください。
新機能
新機能は以下になります。
- [PX-3504] PrivXオーソライザーCA鍵のローテーション
ターゲットホストへの証明書認証に使用する、PrivX内の認証局(CA)のCA鍵および証明書を更新することができます。CA鍵と証明書は有効期限が切れる前に更新、または組織のポリシーに従い定期的にローテーションする必要があります。
詳細は以下をご参照ください。
https://privx.docs.ssh.com/v31/docs/certificateca-rotation - [PX-5179] コネクション・ログへのタグ付け
記録したコネクション・ログに対し、タグを設定することができます。
これは、PrivX WebUIのMonitoring → Connectionsページから行うことができます。
メーカーリリースノート
その他、本バージョンへのアップグレードパスや機能改善、既知の不具合情報については、以下URLをご参照ください。
https://privx.docs.ssh.com/v31/docs/release-notes-for-this-release