2024.03.27 | PrivX 32.3リリース |
---|---|
2024.01.10 | PrivX 32.2リリース |
2023.12.05 | PrivX 32.1.1リリース |
2023.12.01 | PrivX 32.1リリース |
2023.11.23 | PrivX 32.0リリース |
PrivX 32.3リリース2024.03.27
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 32.3がリリースされました。
このリリースはセキュリティとバグの修正を含むインクリメンタルリリースです。
PrivX 32.2リリース2024.01.10
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 32.2がリリースされました。
このリリースはTerrapinの脆弱性(https://info.ssh.com/terrapin-vulnerability-faq)に対処するためのインクリメンタルリリースです。この修正には次の変更が含まれます。
- PrivX SSHプロキシとSSH Bastionは、ターゲットサーバーとクライアントが最初の鍵交換時にOpenSSHの厳格なKEXプロトコル拡張のサポートを表明した場合、これを有効にします。
- デフォルトのssh target及び、ssh clientの暗号化セットから、chacha20-poly1305@openssh.comアルゴリズムが削除されました。
- デフォルトのssh target及び、ssh clientのmacセットから、hmac-sha2-512-etm@openssh.com、hmac-sha2-256-etm@openssh.comアルゴリズムが削除されました。
/opt/privx/etc/ssh-algorithms.tomlファイルを編集することで、脆弱なアルゴリズムの組み合わせを使用するように戻すことが可能になります。なお、この方法はPrivXが通信するすべてのサーバとクライアントがOpenSSHの厳格なKEXプロトコル拡張をサポートしているという確認がない限り、推奨されません。
PrivX 32.1.1リリース2023.12.05
このマイナーリリースでは、Carrierブラウザイメージ(chromium、chromium_lite)が修正されています。アップグレードには新しいブラウザイメージをダウンロードし、現在のPrivX Carrierバージョンと一致するようにタグ付けすることが含まれます。
※ PrivXやPrivX Carrier/WebProxyは32.1を使用してください。
この例では、PrivX Carrier 32.1でChromiumコンテナイメージをアップグレードする方法を示します。
コマンド後にPrivX Carrierを再起動する必要はありません。
PrivX 32.1リリース2023.12.01
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 32.1がリリースされました。
PrivX 32.1は、 PrivX 32.0で見つかったいくつかのパフォーマンスと安定性の問題を修正したインクリメンタルリリースです。
バグの修正
- [PX-6334] ユーザーのログインタイムスタンプが必要以上に更新される。
- [PX-6364] トレイル・インテグリティの維持向上。
- [PX-6387] ワークフローエンジンがロールストアをスパムする。
- [PX-6464] シークレットマネジャーのパニック。
PrivX 32.0リリース2023.11.23
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 32.0がリリースされました。
重要なお知らせ
●APIロールパラメータの更新
Role-Store APIが更新され、/role-store/api/v1/users/{user_id}/rolesエンドポイントでユーザーロールを管理できるようになりました。これにより、GETリクエストとPUTリクエストの両方に影響します。
期間限定ロールの有効期限を定義する方法が変更されました。以前は、これらの期間はルートオブジェクトのgrant_start属性とgrant_end属性を使用して設定されていました。現在は、複数の時間範囲をサポートするgrant_validity_periods配列内で指定されています。
APIの仕様につきましては、以下をご参照ください。
https://privx.docs.ssh.com/reference/put_role-store-api-v1-users-user-id-roles
●PostgreSQL 9.x及び10.xのサポート終了
PostgreSQL 9.xと10.xはそれぞれ2021年と2022年にサポートが終了し、これらのデータベースの公式サポートは今回のリリースから終了します。
PrivXデータベースをアップグレードするには、以下をご参照ください。
https://privx.docs.ssh.com/v32/docs/upgrade-privx-database-to-supported-version
●Carrier構成の更新時にカスタムブラウザを保持
カスタムブラウザイメージを使用し、Carrierとその設定をアップグレードする場合は、Carrier設定ファイルcarrier-config.tomlでカスタムブラウザイメージが指定されていることを確認してください。カスタムブラウザイメージの名前は、[web_browsers]セクションのdefault設定で指定する必要があります。
●Rocky Linux/RHEL 9正式サポート追加及びCentOS/RHEL 7のサポート終了
CentOS 7とRHEL 7は、2024年6月30日にサポートが終了します。PrivX は、同じスケジュールでこれらのプラットフォームのインストールサポートを終了することを目指しています。PrivX 32 以降、Rocky Linx 9及びRHEL 9が正式にサポートされます。
詳細は以下をご参照ください。
https://privx.docs.ssh.com/v32/docs/migrate-from-eol-operating-systems
●Rocky Linux/RHEL 9正式サポート追加及びCentOS/RHEL 7のサポート終了
CentOS 7とRHEL 7は、2024年6月30日にサポートが終了します。PrivX は、同じスケジュールでこれらのプラットフォームのインストールサポートを終了することを目指しています。PrivX 32 以降、Rocky Linx 9及びRHEL 9が正式にサポートされます。
詳細は以下をご参照ください。
https://privx.docs.ssh.com/v32/docs/migrate-from-eol-operating-systems
非推奨の警告
●Redisサポートの終了
Redisサポートは将来のリリースで終了する予定です。PrivXマイクロサービス通知のためにPostgreSQLに変更することをお勧めします。
詳細は以下をご参照下さい。
https://privx.docs.ssh.com/v32/docs/changing-notification-mechanism-to-postgresql
●SHA-1-証明書のサポート終了が迫っています
SHA-1で署名された証明書のサポートは、今後のPrivXのリリースでは廃止される予定です。
デフォルトでは、自己署名証明書でない限り、PrivX はSHA-1 署名を持つ証明書を信頼しません。このような証明書の信頼を再度有効にするには、PrivX マイクロサービスとツールの環境変数GODEBUG=x509sha1=1を設定する必要があります。
SHA-1 に対する実際的な攻撃は 2017 年に実証されており、公的に信頼されている認証局は 2015 年以降 SHA-1 証明書を発行していません。
●古いプラットフォームに対する privx-cmd 及び PrivX-Agentのサポートが終了
PrivX v33以降でリリースされたprivx-cmd及びPrivX-Agentは、以下の古いプラットフォームをサポートしない可能性があります。
- Windows 7/8、Server 2008/2012
- MacOS ver.10.14以前
ネイティブクライアント接続を有効にするためにPrivX-Agentまたはprivx-cmdを使用する場合は、ユーザーのOSがアップデートされていることを確認してください。
サポートされているリリースとアップグレードパス
このリリース以降、PrivX 32.x、31.x、30.xのセキュリティと安定性のための修正が提供されます。古いバージョンは正式にサポートされていないため、サポートされていないバージョンをご使用の場合は、お早めにアップグレードされることをお勧めします。
このバージョンへのアップグレードは、31.x、30.x、29.xをサポートしています。
詳細は以下をご参照下さい。
https://privx.docs.ssh.com/v32/docs/upgrade-from-older-releases
新機能
新機能は以下になります。
- [PX-2314] ホストディレクトリとしてVMWare vSphereをサポート。
- [PX-3940] RDP/DBネイティブ接続のOIDCログインを可能にするセッションパスワード認証。
詳細は以下をご参照下さい。
https://privx.docs.ssh.com/v32/docs/session-password-authentication
- [PX-4299] ワークフロー経由にて、同ユーザーロールに複数の有効期限を付与。
同ユーザーロールに複数の有効期限を付与する場合、申請者はリクエストを1つずつ申請し、承認者は1つずつ承認する必要があります。 - [PX-5418] 自社開発モバイルアプリ「PrivX Authorizer」による多要素認証。
詳細は以下をご参照下さい。
https://privx.docs.ssh.com/v32/docs/multi-factor-authentication-with-privx-authorizer
- [PX-6142] ダークモードGUIのサポート。
詳細は以下をご参照下さい。
https://privx.docs.ssh.com/v32/docs/gui-configuration#enabling-dark-mode
- [PX-6174] CSVまたはJSON形式でのリストデータのエクスポート。
詳細は以下をご参照下さい。
https://privx.docs.ssh.com/v32/docs/exporting-list-data
- [PX-6176] セッション・レコーディングからクリップボードやファイル転送を省略するオプション。
- [PX-6273] ホスト設定ページから直接ターゲットホストへの接続を開始。
この機能は接続のテストに役立ちます。
なお、この機能を使用するには、対象のホストへアクセス可能なロールを設定する必要になります。 - [PX-5215] UIターミナルビューでファイルのアップロードステータスを表示。
- [PX-5778] Extenderを介したネットワークターゲットのUDPプロトコルサポート。
- [PX-6165] Carrier接続用にWebサービス固有のブラウザバージョンを設定するオプション。
メーカーリリースノート
その他、本バージョンへのアップグレードパスや機能改善、既知の不具合情報については、以下URLをご参照ください。
https://privx.docs.ssh.com/v32/docs/release-notes-for-this-release