Hallo zusammen, WAPT 1.8.1 mit Fehlerbehebungen ist jetzt verfügbar. Changelog : WAPT-1.8.1-6700 (04.02.2020) (Hash dae3fc37) Wichtigste Änderungen: waptconsole: Es wurde eine Seite hinzugefügt, die den Installationsstatus (Zusammenführung) aller ausgewählten Hosts zusammenfasst, gruppiert nach Paket, Version, Installationsstatus und Anzahl der Hosts. Über das Kontextmenü können ausstehende Aktionen gezielt angewendet werden. In Unternehmensumgebungen können Updates sicher angewendet werden (nur Pakete, für die kein Clientprozess läuft). Benutzer können ein Host-Paket nicht speichern, wenn die Zielhosts ihr persönliches Zertifikat nicht akzeptieren. (Überprüft in der waptconsole beim Bearbeiten/Massen-Aktualisieren von Host-Paketen und auf dem Server beim Hochladen von Paketen.) Die persönliche Zertifikatsdatei (.crt) muss zuerst das persönliche Zertifikat und anschließend die Zertifikate der ausstellenden Zertifizierungsstelle (CA) enthalten, damit WAPT die Zertifikatskette wiederherstellen und die Übereinstimmung mit den vertrauenswürdigen Zertifikaten des Hosts prüfen kann. Wichtiger Hinweis zur SSL-Client-Authentifizierung: Stellen Sie in Ihrer Nginx-Konfiguration sicher, dass Sie die Header `X-Ssl-Authenticated` und `X-Ssl-Client-DN` zurücksetzen, da Waptserver diesen Headern vertraut, wenn die SSL-Client-Authentifizierung in der `waptserver.ini` aktiviert ist. Wenn die SSL-Client-Authentifizierung eingerichtet ist, können diese Header mit `proxy_set_header` und dem Ergebnis von `ssl_verify_client` befüllt werden, wie in `./wapt-security/security-configuration-certificate-authentication.html#enabling-client-side-certificate-authentication` beschrieben. Fehlerbehebungen und detailliertes Änderungsprotokoll : Sicherheitskorrektur für das Waitress-Modul : Leere X-Ssl*-Header in Standard-Nginx-Vorlagen. Wapt-Konsole: Aktualisierung des Host-Pakets nur zulassen, wenn das Benutzerzertifikat auf dem Host tatsächlich gültig ist (basierend auf der letzten Aktualisierung des Host-Status in der Datenbank). Wichtig: Option zum Deaktivieren des automatischen Ausblendens von Panels hinzufügen… Wichtig: Explizite Aufgabe „AllowUnauthenticatedRegistration“ zu waptserversetup hinzufügen. Behoben: Regression: Kerberos register_host funktionierte nicht mehr. waptsetup: Explizite Aufgabe „VCRedistNeedsInstall“ entfernen. Verwenden Sie /VCRedistInstall=(0/1), um die Installation von vcredist VC_2008_SP1_MFC_SEC_UPD_REDIST_X86 zu erzwingen oder zu verhindern. Fehlerbehebung: wapt-get.exe: Verwenden Sie wapt-get.ini für die wapt-get-Aktionen „scan-packages“ und „update-packages“. Fehlerbehebung: wapt-get: Authentifizierung wird beim Prüfen der Serververfügbarkeit (Ping) angefordert, wenn die Client-SSL-Authentifizierung aktiviert ist. Wichtig: wapt-Client: Wenn die Client-SSL-Authentifizierung mit dem HTTP-Fehler 400 fehlschlägt, wird ein erneuter Versuch ohne SSL-Authentifizierung unternommen, um die Signierung eines neuen Zertifikats anzufordern. Verhalten der waptserver-Registrierung: Rückgängigmachung gegenüber Revision 6641: Signieren des Host-Zertifikats, wenn ein authentifizierter Benutzer angegeben wird oder Daten mit einem Schlüssel signiert sind, der anhand eines vorhandenen Zertifikats in der Datenbank für diese Host-UUID verifiziert werden kann. Verhalten der waptserver-Registrierung: Wenn beim Registrieren ein 401-Fehler vom Server empfangen wird, wird die Registrierung ohne SSL wiederholt. auth. wapt client: Stellen Sie sicher, dass der korrekte private Host-Schlüssel auf der Festplatte gespeichert ist, wenn Sie ein signiertes Zertifikat vom Server erhalten. waptconsole: Erweiterte Filter für den Status ausgewählter Host-Pakete. Filtern Sie nach Installationsstatus und Abschnitt + Schlüsselwort. Schaltfläche „Ausstehend“, um nur ausstehende Installationen anzuzeigen / entfernt wapt-get make-template / Paket bearbeiten: .vscode-Verzeichnis hinzufügen. Vorlagenprojekt für VS Code hinzufügen. waptconsole: SSL-Authentifizierung für Massenpaketabhängigkeiten / Konfliktaktualisierungen korrigieren. waptconsole: Import von Paketen aus externen Repositories mit SSL-Authentifizierung korrigieren. Backports vom Master-Branch: Zielbetriebssystem beim Importieren von Paketen auswählen, Editor für Pakete unter Linux in der Befehlszeile auswählen. Backports vom Master-Branch: Refactoring für HostCapabilities.waptos. Neues target_os Unix für Mac und Linux hinzufügen , sodass target_os: Windows, Darwin (für Mac), Linux oder Unix. WAPT.wapt_base_dir korrigieren. makepath unter Linux/macOS korrigieren. Einigewaptserver Refactorings / Korrekturen für setuphelpers . Korrektur für repo-sync : Kerberos- oder SSL-Authentifizierungsprüfung in waptserver nur zulassen, wenn in der Konfigurationsdatei waptserver.ini aktiviert. Zwei Setup-Helfer für Linux hinzufügen: type_debian und type_redhat. Lokale sync.json einrücken. get_os_version und windows_version_from_registry anstelle von windows_version verwenden . windows_version_registry für get_os_version unter Windows verwenden . host_capabilities.os vom Master-Master zurückportieren. Automatische CRL-Pflege für Client-Authentifizierungszertifikate, die vom Server signiert wurden, hinzufügen. Standard-CRL-Lebensdauer auf 30 Tage setzen. Client-Zertifikat-CRL-Erneuerung stündlich prüfen. Parameter für den nächsten CRL-Aktualisierungszeitpunkt hinzufügen. clients_signing_crl_url, clients_signing_crl_days und known_certificates_folder hinzufügen. waptserver-Parameter: /ssl-Verzeichnis in Nginx-Vorlagen hinzufügen. crl_urls in Client-Authentifizierungszertifikaten hinzufügen. Geplante Aufgabe zur serverseitigen Erneuerung hinzufügen.Die Der Waptserver-Parameter `clients_signing_crl` fügt das Clientzertifikat zur Server-CRL hinzu, wenn der Host abgemeldet wird. Methode `revoke_cert` wird der Klasse `SSLCRL` hinzugefügt. Der Client-Authentifizierungs-CRL wird ein `authorityKeyIdentifier` hinzugefügt. Ein Neustart wird erzwungen, wenn ein Windows-Task fehlerhaft ist . Der Wapt-Dienst wird mit `sys._exit(10)` von NSSM neu gestartet, falls eine unbehandelte Ausnahme auftritt (Schleifen). Der Wapt-Client speichert den Status `Wapt.runstatus` nicht in der Datenbank, wenn er sich nicht ändert.
