リリースノート|PrivX37

リリースノート|PrivX

2025.03.06


PrivX 37.1リリース

SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 37.1がリリースされました。PrivX 37.1は、パフォーマンスと安定性の修正に重点を置いた増分リリースです。

2024.11.27


PrivX 37.0リリース

SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 37がリリースされました。PrivX 37は、新機能を備えたメジャーリリースです。

このリリース後、PrivX 37.x、36.x、35.xのセキュリティと安定性のための修正が提供されます。古いバージョンは正式にサポートされていません。サポートされていないバージョンを実行している場合は、できるだけ早くアップグレードすることを推奨します。

 

このリリースへのサポートされているアップグレードパスは次の通りです。

  • ダウンタイムを伴うアップグレード:34.x、35.x、36.x
  • ゼロダウンタイムアップグレード:36.x

上記よりも古いバージョンからのアップグレードの詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v37/docs/upgrade-from-older-releases

重要なお知らせ

  •  PrivX LTS (長期サポート)バージョンについて

今後PrivX LTSバージョンとしてPrivX 36をベースとしたPrivX 36 LTSがリリース予定です。PrivX 37からPrivX 36 LTSへの移行はバージョンダウンに該当するため、実施できません。PrivX LTSバージョンをご利用予定の場合はPrivX 37へのアップグレードを行わず、PrivX 36.2または35.4をご利用ください。
PrivX LTSバージョンの詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v37/docs/privx-lts-introduction

  • RDP 証明書認証における SID 拡張子の保持

PrivX 36では、PrivXが発行する認証用のRDP証明書にデフォルトでSID拡張子が含まれています。一部の古い環境では、SID値が欠落している場合や内容が一致しないために、アップグレードが中断される恐れがあります。PrivX 37では、PrivXが発行するRDP証明書にSID拡張子を含めるかどうかを制御する設定をサポートしています。
既存のRDP証明書の設定を維持したまま36.0または36.1から36.2へアップグレードを行う場合は、設定維持のための追加の設定を37へのアップグレードの前又は、後に実行する必要があります。
設定手順の詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v37/docs/release-notes-for-this-release#important-notes-for-this-release

  • 古いPostgreSQLバージョンではアップグレードがサポートされていません

PrivXデプロイメントでPostgreSQL 10以前を使用している場合は、PrivX 35、36又は37へアップグレードすることはできません。PrivXをアップグレードする前に、PrivXデータベースをPostgreSQL 11以降にアップグレードする必要があります。
ただしPostgreSQL 11は既にEOLに達しており、PrivXのサポートからも間もなく対象外となるため、少なくともPostgreSQL 12.x以降にアップグレードする事を推奨します。
アップグレード中にpostinstall.shがPostgreSQLのバージョンを正しく判別できないなどのエラーが発生した場合は、以下を参考にトラブルシューティングを行ってください。
https://privx.docs.ssh.com/v37/docs/postgresql-version-errors-during-installation-and-upgrade

  • アップグレードの時間

このバージョンへのアップグレードには、特にホストやプリンシパルが多数存在する環境では、アップグレード完了までに時間がかかる可能性があります。

非推奨の警告

  • 古いバージョンに代わる新しいバージョンのGo SDK

本バージョンはGo SDK V1の最後のメジャーリリースとなります。
今後のGo SDKバージョン 2.38.0以降、SDKは後方互換性を無効にするなどの大幅な変更が導入される予定です。Go SDKバージョン 1においての重大なバグの修正は引き続き提供されますが、新機能の追加やPrivX 37以上のバージョンのサポートは提供されません。

  • 名前がスペースのみでの作成は不可となります

PrivX 37以降ではスペースのみで構成される名前での作成は不可となりました。
スペースのみの名前は有効な名前に変更しない限り、編集内容を保存するなど更新することが不可能となります。

  • agent-proxyの廃止が迫っています

agent-proxy機能はPrivX 38以降で削除されます。
agent-proxy機能の詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v37/docs/privx-extender-configuration#proxying-native-client-connections

agent-proxy機能により、privx-agentを使用するSSHクライアントはssh-proxyを介してExtenderターゲットに接続が可能となっていました。最近のPrivXでは、代わりにSSH Bastion経由でネイティブSSHクライアントを使用することができます。
ネイティブクライアントの接続の詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v37/docs/ssh-connections-with-native-clients

  • Amazon Linux 2 サポート終了

PrivXは、2025年6月までにAmazon Linuxのインストールサポートを終了する予定です。サポートされているOSに移行する場合の詳細は以下をご参照ください
https://privx.docs.ssh.com/v37/docs/migrate-from-eol-operating-systems

  • PostgreSQL 11.x のサポート終了

PostgreSQL 11.x は 2023年 11月 にサポートが終了しており、このバージョンの公式サポートは将来のリリースで終了します。

  • SHA-1-証明書のサポート終了が迫っています

SHA-1で署名された証明書のサポートは、今後のPrivXのリリースでは廃止される予定です。
デフォルトでは、自己署名証明書でない限り、PrivXはSHA-1 署名を持つ証明書を信頼しません。このような証明書の信頼を再度有効にするには、PrivX マイクロサービスとツールの環境変数 GODEBUG=x509sha1=1 を設定する必要があります。
SHA-1 に対する実際的な攻撃は 2017 年に実証されており、公的に信頼されている認証局は 2015 年以降 SHA-1 証明書を発行していません。

新機能

新機能は以下になります。

  • [PX-3390] PrivX GUI経由でエクステンダーを更新できるようになりました。

詳細は以下をご参照ください。
https://privx.docs.ssh.com/v37/docs/setting-up-privx-components#upgrading-privx-extenders

  • [PX-6617] ターゲットホストのサービス設定におけるキャリアブラウザ設定が可能になりました。
  • [PX-6684] PrivX GUI経由でExtender、db-proxy、Web-Proxy CA証明書のローテーションが可能になりました。

詳細は以下をご参照ください。
https://privx.docs.ssh.com/docs/ssltls-security#privx-components

  • [PX-6977] UI:ターゲットドメインアカウントと管理対象アカウントの検索をサポートするようになりました。
  • [PX-7124] SSH Web クライアントの「スクロールバックの長さ」が設定可能になりました。
  • [PX-7032] role-store: OIDC/SCIM属性マッピングは windows_sid をサポートするようになりました。
  • [PX-7040] SSH Web Carrier接続のアイドルタイムアウトが設定可能になりました。

主な改善点・不具合修正

主な改善点・不具合修正は以下になります。

  • [PX-3172] 重複する監査イベントを削減するための新しい監査レート制限を設定しました。

Host-modified、RoleContext-usage-alert、および Directory-authentication-failed 監査イベントに適用されます。

  • [PX-6428] privx.confは、アップグレードのたびに上書きされなくなりました。
  • [PX-7089] 重複する名前を持つターゲットドメインの作成が不可となりました。

本バージョンにアップグレードすると、重複した名前を持つターゲットドメインの名前が自動的に変更されます。(例:"td_name" から "td_name (1)" など)

  • [PX-7042] ターゲットドメインの権限なしでホスト管理を許可できるようになりました。
  • [PX-7059] WebUI経由でPrivXを再起動し、アクティブな接続数が不明な場合のメッセージが明確になりました。
  • [PX-7192] RDP X.509証明書にSID拡張を含めるかどうかを制御する設定を修正しました。
  • [PX-7064] /tmpフォルダの権限エラーにより、rdp-mitm接続が時々失敗する不具合を修正しました。

メーカーリリースノート

その他機能改善、既知の不具合情報については、以下URLをご参照ください。
https://privx.docs.ssh.com/v37/docs/release-notes-for-this-release

保守契約ユーザー様向け
お問い合わせフォーム

CONTACT

万が一のインシデントに備えませんか?
私たちが情報セキュリティをまとめて解決します

ご不明な点はお気軽に
お問い合わせください

お電話からも受け付けております。

電話受付時間/平日9:00~17:00