2025.01.22 | PrivX 36.3.LTS.1リリース |
---|---|
2024.12.10 | PrivX 36.2リリース |
2024.10.11 | PrivX 36.1.1リリース |
2024.09.30 | PrivX 36.1リリース |
2024.09.02 | PrivX 36.0リリース |
PrivX 36.3.LTS.1リリース
2025.01.22
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 36.3.LTS.1がリリースされました。PrivX 36.3.LTS.1はPrivX 36 LTSリリースの最初のバージョンとなります。
PrivX 36 LTSは2年間のサポートを提供します。サポート期間中はセキュリティ及び、主要なバグ修正を提供します。
PrivX LTSの詳細は以下をご参照ください。
https://privx.docs.ssh.com/v36/docs/privx-lts-introduction
LTSバージョンにアップグレードを行うと、PrivX Web GUI上にて、引き続き新しいバージョンが利用可能である旨の通知を表示します。この通知を無効にするには、/opt/privx/etc/shared-config.tomlのssh_product_versions_check_intervalの設定値を以下のように0に設定します。
ssh_product_versions_check_interval = 0
設定値の変更完了後、PrivXを再起動ください。
PrivXのノードが複数ある場合は、本手順を繰り返し実行ください。
本バージョンでは、以下のオペレーティングシステムをサポートしています。
- Red Hat Enterprise Linux 8.x、9.2 以降 9.x
- Rocky Linux 8.4 以降 8.x、9.2 以降 9.x
PrivX 36.3.LTS.1をインストール/アップグレードする場合は以下のようにバージョンを指定して実行してください。
# sudo yum install PrivX-36.3.LTS.1
# sudo yum install PrivX-Extender-36.3.LTS.1
# sudo yum install PrivX-Web-Proxy-36.3.LTS.1
# sudo yum install PrivX-Carrier-36.3.LTS.1
※バージョン番号を指定しない場合は、実行時点の最新バージョン(2025/2/03時点:PrivX 37.0) がインストールされます。
また、意図しないPrivXのバージョンアップを防ぐために、SSH PrivXリポジトリを無効にすることを推奨いたします。
手順の詳細は以下をご参照ください。
https://privx.docs.ssh.com/v36/docs/best-practices#disabling-privx-repository
主な改善点・不具合修正
主な改善点・不具合修正
- [PX-7263] ユーザー数がライセンス制限を超えた場合、UI にバナー メッセージが表示されない問題が修正されました。
PrivX 36.2リリース
2024.12.10
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 36.2がリリースされました。PrivX 36.2は、安定性の修正を加えた増分リリースです。
重要なお知らせ
●PrivX LTS (長期サポート)バージョンについて
-
今後PrivX LTSバージョンとしてPrivX 36をベースとしたPrivX 36 LTSがリリース予定です。同時期にリリースされているPrivX 37からPrivX 36 LTSへの移行はバージョンダウンに該当するため、実施できません。PrivX LTSバージョンをご利用予定の場合はPrivX 37へのアップグレードを行わず、本バージョンをご利用ください。
PrivX LTSバージョンの詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v37/docs/privx-lts-introduction
●v36.2 RDP 証明書認証における SID 拡張子の保持
-
PrivX 36.0および 36.1では、PrivXが発行する認証用のRDP証明書にデフォルトでSID拡張子が含まれています。一部の古い環境では、SID値が欠落している場合や内容が一致しないために、アップグレードが中断される恐れがあります。PrivX 36.2では、PrivXが発行するRDP証明書にSID拡張子を含めるかどうかを制御する設定をサポートしています。
既存のRDP証明書の設定を維持したまま36.0または36.1から36.2へアップグレードを行う場合は、設定維持のための追加の設定を36.2へのアップグレードの前又は、後に実行する必要があります。
設定手順の詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v36/docs/release-notes-for-this-release#important-notes-for-this-release
主な改善点・不具合修正
主な改善点・不具合修正は以下になります。
- [PX-7121] auth:OIDCプロバイダーのクライアント構成がノード間で同期されない問題を修正しました。
- [PX-7192] RDP X.509証明書にSID拡張子を含めるかどうかを制御する設定を追加しました。
- [PX-7263] ユーザーライセンス関連の猶予期間のUIバナーが表示されない問題を修正しました。
- [PX-7265] ADのカスタム属性マッピングが小文字でのみでしか動作しない問題を修正しました。
- [PX-7280] アップグレード時に古い監査イベントが早期に保持される問題を修正しました。
PrivX 36.1.1リリース
2024.10.11
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 36.1.1がリリースされました。
このマイナーリリースはCarrierブラウザイメージ(Firefox/Firefox_lite)が修正されています。
アップグレードには新しいブラウザイメージをダウンロードし、現在のPrivX Carrierバージョンと一致するようにタグ付けすることが含まれます。
※ PrivXやPrivX Carrier/WebProxyは36.1を使用してください。
この例では、PrivX Carrier 36.1でFirefox liteコンテナイメージをアップグレードする方法を示します。
docker pull public.ecr.aws/sshprivx/privx_browser_firefox_lite:36.1.1
docker tag public.ecr.aws/sshprivx/privx_browser_firefox_lite:36.1.1
public.ecr.aws/sshprivx/privx_browser_firefox_lite:36.1
PrivX 36.1リリース
2024.09.30
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 36.1がリリースされました。PrivX 36.1 は、安定性の修正を加えた増分リリースです。
主な改善点・不具合修正
主な改善点・不具合修正は以下になります。
- [PX-7064] /tmpフォルダーのアクセス許可エラーが原因で、RDP-Bastion接続が失敗することがあります。
PrivX 36.0リリース
2024.09.02
SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 36.0がリリースされました。PrivX 36.0 は、パスワードローテーションの対象ホストの追加などの新機能を備えたメジャーリリースです。
このリリース後、PrivX 36.x、35.x、34.xのセキュリティと安定性のための修正が提供されます。古いバージョンは正式にサポートされていません。サポートされていないバージョンを実行している場合は、できるだけ早くアップグレードすることを推奨します。
このリリースへのサポートされているアップグレードパスは次の通りです。
- ダウンタイムを伴うアップグレード:33.x、34.x、35.x
- ゼロダウンタイムアップグレード:35.x
上記よりも古いバージョンからのアップグレードの詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v36/docs/upgrade-from-older-releases
重要なお知らせ
●UEBAサーバーのアップグレード
PrivX 35以前のUEBAサーバーを使用している場合は、PrivXアップグレード前にUEBAサーバーの無効化等の手順が必要となります。
手順の詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v36/docs/release-notes-for-this-release#important-notes-for-this-release
●古いPostgreSQLバージョンではアップグレードがサポートされていません
PrivXデプロイメントでPostgreSQL 10以前を使用している場合は、PrivX 36にアップグレードすることはできません。PrivXをアップグレードする前に、PrivXデータベースをPostgreSQL 11以降にアップグレードする必要があります。
ただしPostgreSQL 11は既にEOLに達しており、PrivXのサポートからも間もなく対象外となるため、少なくともPostgreSQL 12.x以降にアップグレードする事を推奨します。
アップグレード中に postinstall.sh が PostgreSQL のバージョンを正しく判別できない場合は、以下を参照してトラブルシューティングしてください。
https://privx.docs.ssh.com/v36/docs/postgresql-version-errors-during-installation-and-upgrade
●アップグレードの時間
このバージョンへのアップグレードには、特にホストやプリンシパルが多数存在する環境では、アップグレード完了までに時間がかかる可能性があります。
非推奨の警告
PrivX 36以前では、1つ以上のスペースを含む名前が許可されていました。PrivX 37以降ではスペースが使用不可となります。現時点で名前にスペースを含んでいる場合は、名前を変更することを推奨いたします。
なお、対象は以下の通りとなります。
- Hosts
- Network Targets
- Directories
- Workflows
- Cloud Log Collectors
- External Token Providers
- Identity Provider Clients
- Target Domains
PrivX 37以降でスペースのみの名前を使用している場合は、引き続き機能します。しかし、スペースのみの名前を、スペースなしの有効な名前に変更しない限り、編集して保存することが不可能となります。
●agent-proxyの廃止が迫っています
agent-proxy機能はPrivX 38以降で削除されます。
agent-proxy機能の詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v36/docs/privx-extender-configuration#proxying-native-client-connections
agent-proxy機能により、privx-agentを使用するSSHクライアントはssh-proxyを介してExtenderターゲットに接続が可能となっていました。最近のPrivXでは、代わりにSSH Bastion経由でネイティブSSHクライアントを使用することができます。
ネイティブクライアントの接続の詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v36/docs/ssh-connections-with-native-clients
●CentOS/RHEL 7 サポート終了
CentOS 7とRHEL 7は 2024年6月30日 にサポートが終了します。これらのプラットフォームのインストールサポートを同じスケジュールで終了する予定です。PrivX 32以降、Rocky Linux 9とRHEL 9が正式にサポートされています。EOL オペレーティングシステムからの移行について、詳細は以下をご参照ください
https://privx.docs.ssh.com/v36/docs/migrate-from-eol-operating-systems
●PostgreSQL 11.x のサポート終了
PostgreSQL 11.x は 2023年 11月 にサポートが終了しており、このバージョンの公式サポートは将来のリリースで終了します。
●SHA-1-証明書のサポート終了が迫っています
SHA-1で署名された証明書のサポートは、今後のPrivXのリリースでは廃止される予定です。
デフォルトでは、自己署名証明書でない限り、PrivXはSHA-1 署名を持つ証明書を信頼しません。このような証明書の信頼を再度有効にするには、PrivX マイクロサービスとツールの環境変数GODEBUG=x509sha1=1を設定する必要があります。
SHA-1 に対する実際的な攻撃は 2017 年に実証されており、公的に信頼されている認証局は 2015 年以降 SHA-1 証明書を発行していません。
新機能
新機能は以下になります。
- [PX-6698] フルエンスドメインでのWindows RDP証明書認証のサポート。
詳細は以下をご参照ください。
https://privx.docs.ssh.com/v36/docs/certificate-authentication-support-in-full-enforcement-domains
- MicrosoftのKB5014754をカバーしました。
- [PX-6886] 切断されたssh-proxyセッションでユーザーがテキストをコピーできるようになりました。
- [PX-6922] Windows ローカル アカウントのパスワード ローテーションが PrivX Extender の背後にあるホストをサポートするようになりました。
- [PX-6940] ドメインパスワードログインがTectia Serverをサポートするようになりました。
主な改善点・不具合修正
主な改善点・不具合修正は以下になります。
- [PX-5797] PrivXではプリコンパイルされたPythonは不要になりました。アップグレードすると/opt/pyフォルダーが削除されます。
- [PX-6880] AD アカウントのログイン失敗時のエラー メッセージが明確になりました。
- [PX-6972] UEBA依存関係をアップグレードしました。
- [PX-6946] TOTP MFAが有効になっているディレクトリユーザは制限モードでPrivXにログインできない事象が修正されました。
メーカーリリースノート
その他機能改善、既知の不具合情報については、以下URLをご参照ください。
https://privx.docs.ssh.com/v36/docs/release-notes-for-this-release