Sicherheitsupdate für WAPT 1.8.2 und WAPT 2.0

Offizielle Bekanntmachungen zu WAPT finden Sie hier.
Gesperrt
Benutzeravatar
dcardon
WAPT-Experte
Nachrichten: 1953
Anmeldung: 18. Juni 2014 - 09:58 Uhr
Ort: Saint Sébastien sur Loire
Kontakt:
Kontaktieren Sie dcardon

7. Oktober 2021 – 21:04 Uhr

Hallo, ein Sicherheitsupdate für Wapt 2.0 Enterprise und Wapt 1.8.2 Enterprise und Community Edition wurde veröffentlicht. Die Änderungsübersicht und die CVSS-Bewertungen finden Sie unten. WAPT 2.1 ist nicht betroffen. Informationen zum Update finden Sie in der Dokumentation unter https://www.wapt.fr/en/doc . Mit freundlichen Grüßen, Denis. Änderungsübersicht 2.0.0.9470 ==================== Dies ist ein Sicherheitsupdate . Alle Wapt 2.0-Versionen unter 2.0.0.9470 sind betroffen. * [SEC] Behebung der Sicherheitslücke in urllib3 CVE-2021-33503 (CVSS-Bewertung: 7,5 Hoch, CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) * [SEC] Bereinigung des Dateinamens beim Herunterladen von Dateien auf den lokalen Rechner des Kunden. (CVSS-Wert: 7,5 Hoch, CVSS;3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C) Erzwingt wget und lokale Dateinamen für heruntergeladene Pakete (Zeichen '\\' '..' @ | ( ) : / , \ [ ] < > * ? ; ` \n werden entfernt oder ersetzt) ​​* [UPDATE] Wapt.remove: Ausnahme erneut auslösen, wenn im Deinstallationsskript eine Ausnahme auftritt; Traceback im Schlüssel 'errors' zurückgeben; Rückgabecode 3, wenn beim Entfernen von Paketen mit wapt-get remove Fehler auftreten * [BEHOBEN] Wildcards in Zertifikaten in der waptconsole-Konfiguration und beim Erstellen der waptsetup- Update-UI in der Konfiguration externer Repositorys beim Festlegen des CA-Bundles verarbeiten * [BEHOBEN] PackageEntry.localpath nur für den lokalen Status eines Pakets verwenden. * [UPD] Die Nicht-Kontrollattribute der Paketeinträge wurden in repo_attributes und local_attributes aufgeteilt. Die local_attributes werden nicht in den Paketindex aufgenommen, da sie für den Fernzugriff nicht relevant sind. * [UPD] Die Anforderungen an die Python-Module wurden nach dem urllib3-Upgrade aktualisiert: idna==3.2 (von 2.10), certifi==2021.5.30 (von 2020.12.5), requests==2.26.0 (von 2.25) , urllib3==1.26.6 (von 1.26.5). Changelog 1.8.2.7388 =================== Dies ist ein Sicherheitsupdate. Alle Wapt 1.8 Versionen vor 1.8.2.7388 Sicherheitsupdates wapt-1.8.2.7388* * [SEC] Behebung einer Sicherheitslücke in urllib3 CVE-2021-33503 (CVSS-Wert: 7,5 Hoch, CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) * [SEC] Bereinigung des Dateinamens beim Herunterladen von Dateien auf den lokalen Client. (CVSS-Wert: 7,5 Hoch, CVSS;3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C) Erzwingt wget und lokale Dateinamen für heruntergeladene Pakete (Zeichen '\\' '..' @ | ( ) : / , \ [ ] < > * ? ; ` \n werden entfernt oder ersetzt) ​​* [FIX] Waptconsole-Konfiguration: Beim Abrufen des serverseitigen HTTPS-Zertifikats wird keine UTF-16-Zeichenkette in waptconfig geschrieben. Platzhalter aus dem CN des Zertifikats werden entfernt, um den Zertifikatsdateinamen zu erstellen. * [UPD] Aktualisierung der Python-Modulanforderungen nach dem urllib3-Upgrade : certifi==2021.5.30 chardet==3.0.2 idna==2.8 requests==2.21.0 urllib3==1.24.3



A security release for Wapt 2.0 Enterprise Edition and Wapt 1.8.2 Enterprise and Community Edition has been published. The changelog and CVSS scrore are listed below. WAPT 2.1 is not impacted. Please see the upgrade documentation on




















































Denis Cardon – Tranquil IT
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Hoch
Gesperrt

Zurück zu „Offizielle Bekanntmachungen“


  • Um mit WAPT weiterzukommen