リリースノート|PrivX38

リリースノート|PrivX

2025.02.27
PrivX 38.0リリース


 

2025.02.27


PrivX 38.0リリース

SSHコミュニケーションズ・セキュリティ社(SSH社)よりPrivX 38がリリースされました。PrivX 38は、新機能を備えたメジャーリリースです。

このリリース後、PrivX 38.x、37.x、36.xのセキュリティと安定性のための修正が提供されます。古いバージョンは正式にサポートされていません。サポートされていないバージョンを実行している場合は、できるだけ早くアップグレードすることを推奨します。

 

このリリースへのサポートされているアップグレードパスは次の通りです。

  • ダウンタイムを伴うアップグレード:35.x、36.x、37.x
  • ゼロダウンタイムアップグレード:37.x

上記よりも古いバージョンからのアップグレードの詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v38/docs/upgrade-from-older-releases

重要なお知らせ

  • PrivX LTS (長期サポート)バージョンについて

現在PrivX LTSバージョンとしてPrivX 36をベースとしたPrivX 36.3.LTS.1が利用可能です。LTSバージョンでは2年間サポートが提供されます。PrivX 37以降からPrivX 36 LTSはバージョンダウンに該当するため、実施できません。
PrivX LTSバージョンをご利用予定の場合はPrivX 38へのアップグレードを行わず、PrivX 36.3.LTS.1をご利用ください。
PrivX LTSバージョンの詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v38/docs/privx-lts-introduction

  • sshexec および exec ルーター制御コマンドの変更

ネットワークアクセスマネージャーが、sshexecルーターとexecルーターのコントロールコマンドに追加の{session parameters}引数を送信するようになりました。

  • sshexecルーターの場合、ネットワークアクセスマネージャーは以下の修正されたコマンドを実行するようになりました。

/opt/privx/privx-router/sshexec/add {network parameters} {router parameters} {session parameters} [{static config}]
/opt/privx/privx-router/sshexec/del {network parameters} {router parameters} {session parameters} [{static config}]

  • execルーターの場合、ネットワークアクセスマネージャーは以下の修正されたコマンドを実行するようになりました。

/opt/privx/privx-router/exec/add {network parameters} {router parameters} {session parameters} [{static config}]
/opt/privx/privx-router/exec/del {network parameters} {router parameters} {session parameters} [{static config}]

{session parameters}には、以下のようなJSON形式のセッションパラメータが含まれます。

{
  "session_id": "f5d747f6-af79-412b-4471-b6f5043c90ce",
  "target_id": "07bee1e7-7061-4a90-4831-f501bcbc778e",
  "target_name": "ot-sshexec-target"
}

この変更により、追加の引数に対応できない既存の sshexec/exec ルーターが正常に動作しなくなる可能性があります。そのようなスクリプト/バイナリは追加引数をサポートするように変更する必要があります。

sshexec/exec ルーターについての詳細は以下をご参照ください。
https://privx.docs.ssh.com/v38/docs/adding-privx-router-configuration-to-network-access-manager-settings

  • RDP 証明書認証における SID 拡張子の保持

    PrivX 36では、PrivXが発行する認証用のRDP証明書にデフォルトでSID拡張子が含まれています。一部の古い環境では、SID値が欠落している場合や内容が一致しないために、アップグレードが中断される恐れがあります。PrivX 37以降では、PrivXが発行するRDP証明書にSID拡張子を含めるかどうかを制御する設定をサポートしています。

既存のRDP証明書の設定を維持したまま36.0または36.1からアップグレードを行う場合は、設定維持のための追加の設定をアップグレードの前又は、後に実行する必要があります。

設定手順の詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v38/docs/release-notes-for-this-release#important-notes-for-this-release

  • 古いPostgreSQLバージョンではアップグレードがサポートされていません

    PrivXデプロイメントでPostgreSQL 10以前を使用している場合は、PrivX 35、36、37又は38へアップグレードすることはできません。PrivXをアップグレードする前に、PrivXデータベースをPostgreSQL 11以降にアップグレードする必要があります。
    ただしPostgreSQL 11は既にEOLに達しており、PrivXのサポートからも間もなく対象外となるため、少なくともPostgreSQL 12.x以降にアップグレードする事を推奨します。

アップグレード中にpostinstall.shがPostgreSQLのバージョンを正しく判別できないなどのエラーが発生した場合は、以下を参考にトラブルシューティングを行ってください。
https://privx.docs.ssh.com/v38/docs/postgresql-version-errors-during-installation-and-upgrade

  • アップグレードの時間

    PrivX 35以前からこのバージョンにアップグレードする場合、特にホストやプリンシパルが多数存在する環境では、アップグレード完了までに時間がかかることがあります。

非推奨の警告

  • 名前がスペースのみでの作成は不可となります

PrivX 37以降ではスペースのみで構成される名前での作成は不可となりました。
スペースのみの名前は有効な名前に変更しない限り、編集内容を保存するなど更新することが不可能となります。

  • agent-proxyの廃止が迫っています

agent-proxy機能はPrivX 39以降で削除されます。
agent-proxy機能の詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v38/docs/privx-extender-configuration#proxying-native-client-connections

agent-proxy機能により、privx-agentを使用するSSHクライアントはssh-proxyを介してExtenderターゲットに接続が可能となっていました。最近のPrivXでは、代わりにSSH Bastion経由でネイティブSSHクライアントを使用することができます。

ネイティブクライアントの接続の詳細については、以下をご参照ください。
https://privx.docs.ssh.com/v38/docs/ssh-connections-with-native-clients

  • Amazon Linux 2 サポート終了

PrivXは、2025年6月までにAmazon Linuxのインストールサポートを終了する予定です。サポートされているOSに移行する場合の詳細は以下をご参照ください
https://privx.docs.ssh.com/v38/docs/migrate-from-eol-operating-systems

  • PostgreSQL 11.x のサポート終了

PostgreSQL 11.x は 2023年 11月 にサポートが終了しており、このバージョンの公式サポートは将来のリリースで終了します。

  • SHA-1-証明書のサポート終了が迫っています

SHA-1で署名された証明書のサポートは、今後のPrivXのリリースでは廃止される予定です。
デフォルトでは、自己署名証明書でない限り、PrivXはSHA-1 署名を持つ証明書を信頼しません。このような証明書の信頼を再度有効にするには、PrivX マイクロサービスとツールの環境変数 GODEBUG=x509sha1=1 を設定する必要があります。
SHA-1 に対する実際的な攻撃は 2017 年に実証されており、公的に信頼されている認証局は 2015 年以降 SHA-1 証明書を発行していません。

新機能

新機能は以下になります。

  • [PX-7275] ロール要求のステータスが変更された場合にすべての承認者に通知するようになりました。
  • [PX-7276] 管理者はワークフロー設定でJustificationフィールドを必須に設定できるようになりました。
  • [PX-7296] PrivX GUI経由でのExtender RPMのアップロードをサポートするようになりました。
  • [PX-7355] network-access-manager:管理者がネットワーク ターゲットに静的構成データを追加できるように設定できます。
    ※この機能は既存の sshexec および exec ルーターが正常に動作しなくなる可能性があります。
    詳細は以下の「Changes to sshexec and exec router control commands(sshexec および exec ルーター制御コマンドの変更)」をご参照ください。
    https://privx.docs.ssh.com/v38/docs/release-notes-for-this-release#important-notes-for-this-release

主な改善点・不具合修正

主な改善点・不具合修正は以下になります。

  • [PX-7243] ホストの見出しが設定されている場合、RDPセッションのログイン画面のサイズが変更されてしまう問題を修正しました。
  • [PX-7245] SSHプロキシがConnection Failed監査イベントを記録しない問題を修正しました。
  • [PX-7263] ユーザーライセンス関連の猶予期間のUIバナーが表示されない問題を修正しました。
  • [PX-7277] ターゲットホストの証明書のDNS名がパスワードローテーションのアドレスまたはターゲットの実際の証明書と異なる場合、一致するアクセスグループ証明書においてパスワードローテーションの証明書の検証が失敗する問題を修正しました。
  • [PX-7291] ワークフローのロールリクエストを多数受信すると、ワークフローエンジンが応答しなくなる問題を修正しました。
  • [PX-7371] ステータスページにキャリアとWebプロキシのバージョン番号が表示されない問題を修正しました。
  • [PX-7383] バックアップから PrivX を復元するときに監査イベントのパーティションの競合状態により、モニターサービスがクラッシュする可能性がある不具合を修正しました。 

重要なAPIの変更

go sdk v2を使用したPrivX 38はすべてのサービスにおけるAPIの動作を標準化し、APIコールの簡素化とクエリパラメータの処理を合理化する多数の機能強化が導入されています。go sdk v2では、後方互換性のない変更が導入されています。v1で行われた統合は、v2で正しく動作するよう調整が必要になる場合があります。

v1 SDKの使用を継続することは可能となりますが、v1に対するアップデートは今後提供されません。v1を完全にサポートするPrivXの最終バージョンはPrivX 37となります。v1に影響する重大なバグやAPIの大幅な変更については今後も対応する予定となりますが、すべての新機能及び改善はv2 SDKでのみご利用いただけます。
そのため、新機能や機能強化をご利用いただくためにもv2 SDKへの移行を強く推奨します。 

メーカーリリースノート

その他機能改善、既知の不具合情報については、以下URLをご参照ください。
https://privx.docs.ssh.com/v38/docs/release-notes-for-this-release

保守契約ユーザー様向け
お問い合わせフォーム

CONTACT

万が一のインシデントに備えませんか?
私たちが情報セキュリティをまとめて解決します

ご不明な点はお気軽に
お問い合わせください

お電話からも受け付けております。

電話受付時間/平日9:00~17:00