Versión 1.8.1 de WAPT
Publicado: 12 de febrero de 2020 - 10:40 a. m.
Hola a todos,
versión de WAPT 1.8.1 con correcciones de errores.
Registro de cambios:
WAPT-1.8.1-6700 (2020-02-04)
(hash dae3fc37)
Cambios principales:
waptconsole: Se agregó una página para mostrar el resumen del estado de instalación de paquetes (fusión) de todos los hosts seleccionados, agrupados por paquete, versión, estado de instalación, con el recuento de hosts. El menú contextual permite aplicar selectivamente las acciones pendientes. En la empresa, se pueden aplicar las actualizaciones de forma segura (solo paquetes para los que no hay ningún proceso en ejecución en el lado del cliente)
Impide que los usuarios guarden un paquete de host si el/los host(s) de destino no aceptan su certificado personal. (Verificado en waptconsole al editar/actualizar masivamente paquetes de host y en el servidor al cargar paquetes)
El archivo de certificado personal (.crt) debe contener primero el certificado personal, seguido de los certificados de CA emisores, para que wapt pueda reconstruir la cadena de certificados y verificar la intersección con los certificados de confianza del host.
Nota importante sobre la autenticación del lado del cliente SSL
En su configuración de nginx, asegúrese de restablecer los encabezados X-Ssl-Authenticated y X-Ssl-Client-DN, ya que waptserver confía en estos encabezados si la autenticación del lado del cliente SSL está habilitada en waptserver.ini.
Si la autenticación del lado del cliente SSL está configurada, estos encabezados pueden ser completados por proxy_set_header con el resultado de ssl_verify_client como se explica en ./wapt-security/security-configuration-certificate-authentication.html#enabling-client-side-certificate-authentication
Correcciones y registro de cambios detallado
Corrección de seguridad para el módulo waitress
Seguridad: encabezados X-Ssl* en blanco en las plantillas predeterminadas de nginx
waptconsole: Permitir la actualización del paquete del host solo si el certificado de usuario está realmente permitido en el host (según la última actualización del estado del host en la base de datos).
Imp: Agregar una opción para deshabilitar el ocultamiento automático de paneles…
Imp: Agregar tarea explícita AllowUnauthenticatedRegistration a las ventanas de waptserversetup
Corrección: regresión: kerberos register_host ya no funcionaba
waptsetup: Eliminar la tarea explícita VCRedistNeedsInstall. Use /VCRedistInstall=(0/1) si necesita forzar la instalación o no instalar vcredist VC_2008_SP1_MFC_SEC_UPD_REDIST_X86
Corrección: wapt-get.exe: use wapt-get.ini para las acciones de wapt-get "scan-packages" y "update-packages"
Corrección: wapt-get: se solicita autenticación al comprobar si el servidor está disponible (ping) y la autenticación SSL del cliente está habilitada
Mejora: cliente wapt: si la autenticación SSL del cliente falla con el error HTTP 400, vuelva a intentarlo sin autenticación SSL para poder solicitar la firma de un nuevo certificado
Comportamiento de registro de waptserver: Revertir sobre la revisión 6641: firmar el certificado del host si se proporciona un usuario autenticado o los datos se firman con una clave que se puede verificar mediante un certificado existente en la base de datos para este uuid de host
Comportamiento de registro de waptserver: Cuando se recibe un 401 del servidor al registrarse, vuelva a intentar registrarse sin autenticación SSL.
wapt cliente: Asegúrese de tener la clave privada del host correcta guardada en el disco al recibir el certificado firmado del servidor.
waptconsole: Filtros avanzados para el estado de los paquetes del host seleccionados. Filtrar por estado de instalación y Sección + palabra clave. Botón Pendiente para mostrar solo las instalaciones pendientes / elimina
wapt-get make-template / editar paquete: Agregar directorio .vscode. Agregar proyecto de plantilla para vscode
waptconsole: Corregir la autenticación ssl para actualizaciones masivas de dependencias de paquetes / conflictos
waptconsole: Corregir la importación de paquetes desde repositorios externos con autenticación ssl
backports de master:
sistema operativo de destino en paquetes de importación
elegir editor para paquetes en linux en la línea de comandos
backports de master:
refactorización para HostCapabilities.waptos
agregar nuevo target_os unix para mac y linux
por lo que target_os: windows, darwin (para mac), linux o unix
Corregir WAPT.wapt_base_dir
Corregir makepath en linux/macOS
Algunas refactorizaciones / correcciones para setuphelpers
Corrección para rights_to_check en el cliente repo-sync
Corrección para repo-sync
waptserver: permite la verificación de autenticación kerberos o ssl en waptserver solo si está habilitada en el archivo de configuración waptserver.ini.
Agrega dos setuphelpers para linux: type_debian y type_redhat
indentar el sync.json local
usar get_os_version y windows_version_from_registry en lugar de windows_version
usar windows_version_registry para get_os_version en windows
retroportar host_capabilities.os desde master
Agregar mantenimiento automático de una CRL para certificados de autenticación de clientes firmados por el servidor
vida útil predeterminada de la CRL a 30 días
verificar renovación de la CRL del certificado del cliente cada hora
agregar un parámetro para la próxima hora de actualización de la crl
agregar clients_signing_crl_url clients_signing_crl_days known_certificates_folder parámetros de waptserver
agregar una ubicación /ssl en las plantillas de nginx
agregar crl_urls en certificados firmados de autenticación de cliente
agregar una tarea programada para renovar la crl del lado del servidor
agregar el parámetro clients_signing_crl waptserver a Agregar certificado de cliente a la CRL del servidor cuando el host no esté registrado.
Agregar método revoke_cert a la clase SSLCRL.
Agregar un authorityKeyIdentifier a la CRL de autenticación del cliente.
Forzar reinicio si la tarea de Windows falla.
waptservice: usar sys._exit(10) para pedirle a nssm que reinicie el servicio en caso de excepción no controlada en waptservice (bucles...).
Cliente wapt: no registrar/almacenar en la base de datos Wapt.runstatus si no ha cambiado.
versión de WAPT 1.8.1 con correcciones de errores.
Registro de cambios:
WAPT-1.8.1-6700 (2020-02-04)
(hash dae3fc37)
Cambios principales:
waptconsole: Se agregó una página para mostrar el resumen del estado de instalación de paquetes (fusión) de todos los hosts seleccionados, agrupados por paquete, versión, estado de instalación, con el recuento de hosts. El menú contextual permite aplicar selectivamente las acciones pendientes. En la empresa, se pueden aplicar las actualizaciones de forma segura (solo paquetes para los que no hay ningún proceso en ejecución en el lado del cliente)
Impide que los usuarios guarden un paquete de host si el/los host(s) de destino no aceptan su certificado personal. (Verificado en waptconsole al editar/actualizar masivamente paquetes de host y en el servidor al cargar paquetes)
El archivo de certificado personal (.crt) debe contener primero el certificado personal, seguido de los certificados de CA emisores, para que wapt pueda reconstruir la cadena de certificados y verificar la intersección con los certificados de confianza del host.
Nota importante sobre la autenticación del lado del cliente SSL
En su configuración de nginx, asegúrese de restablecer los encabezados X-Ssl-Authenticated y X-Ssl-Client-DN, ya que waptserver confía en estos encabezados si la autenticación del lado del cliente SSL está habilitada en waptserver.ini.
Si la autenticación del lado del cliente SSL está configurada, estos encabezados pueden ser completados por proxy_set_header con el resultado de ssl_verify_client como se explica en ./wapt-security/security-configuration-certificate-authentication.html#enabling-client-side-certificate-authentication
Correcciones y registro de cambios detallado
Corrección de seguridad para el módulo waitress
Seguridad: encabezados X-Ssl* en blanco en las plantillas predeterminadas de nginx
waptconsole: Permitir la actualización del paquete del host solo si el certificado de usuario está realmente permitido en el host (según la última actualización del estado del host en la base de datos).
Imp: Agregar una opción para deshabilitar el ocultamiento automático de paneles…
Imp: Agregar tarea explícita AllowUnauthenticatedRegistration a las ventanas de waptserversetup
Corrección: regresión: kerberos register_host ya no funcionaba
waptsetup: Eliminar la tarea explícita VCRedistNeedsInstall. Use /VCRedistInstall=(0/1) si necesita forzar la instalación o no instalar vcredist VC_2008_SP1_MFC_SEC_UPD_REDIST_X86
Corrección: wapt-get.exe: use wapt-get.ini para las acciones de wapt-get "scan-packages" y "update-packages"
Corrección: wapt-get: se solicita autenticación al comprobar si el servidor está disponible (ping) y la autenticación SSL del cliente está habilitada
Mejora: cliente wapt: si la autenticación SSL del cliente falla con el error HTTP 400, vuelva a intentarlo sin autenticación SSL para poder solicitar la firma de un nuevo certificado
Comportamiento de registro de waptserver: Revertir sobre la revisión 6641: firmar el certificado del host si se proporciona un usuario autenticado o los datos se firman con una clave que se puede verificar mediante un certificado existente en la base de datos para este uuid de host
Comportamiento de registro de waptserver: Cuando se recibe un 401 del servidor al registrarse, vuelva a intentar registrarse sin autenticación SSL.
wapt cliente: Asegúrese de tener la clave privada del host correcta guardada en el disco al recibir el certificado firmado del servidor.
waptconsole: Filtros avanzados para el estado de los paquetes del host seleccionados. Filtrar por estado de instalación y Sección + palabra clave. Botón Pendiente para mostrar solo las instalaciones pendientes / elimina
wapt-get make-template / editar paquete: Agregar directorio .vscode. Agregar proyecto de plantilla para vscode
waptconsole: Corregir la autenticación ssl para actualizaciones masivas de dependencias de paquetes / conflictos
waptconsole: Corregir la importación de paquetes desde repositorios externos con autenticación ssl
backports de master:
sistema operativo de destino en paquetes de importación
elegir editor para paquetes en linux en la línea de comandos
backports de master:
refactorización para HostCapabilities.waptos
agregar nuevo target_os unix para mac y linux
por lo que target_os: windows, darwin (para mac), linux o unix
Corregir WAPT.wapt_base_dir
Corregir makepath en linux/macOS
Algunas refactorizaciones / correcciones para setuphelpers
Corrección para rights_to_check en el cliente repo-sync
Corrección para repo-sync
waptserver: permite la verificación de autenticación kerberos o ssl en waptserver solo si está habilitada en el archivo de configuración waptserver.ini.
Agrega dos setuphelpers para linux: type_debian y type_redhat
indentar el sync.json local
usar get_os_version y windows_version_from_registry en lugar de windows_version
usar windows_version_registry para get_os_version en windows
retroportar host_capabilities.os desde master
Agregar mantenimiento automático de una CRL para certificados de autenticación de clientes firmados por el servidor
vida útil predeterminada de la CRL a 30 días
verificar renovación de la CRL del certificado del cliente cada hora
agregar un parámetro para la próxima hora de actualización de la crl
agregar clients_signing_crl_url clients_signing_crl_days known_certificates_folder parámetros de waptserver
agregar una ubicación /ssl en las plantillas de nginx
agregar crl_urls en certificados firmados de autenticación de cliente
agregar una tarea programada para renovar la crl del lado del servidor
agregar el parámetro clients_signing_crl waptserver a Agregar certificado de cliente a la CRL del servidor cuando el host no esté registrado.
Agregar método revoke_cert a la clase SSLCRL.
Agregar un authorityKeyIdentifier a la CRL de autenticación del cliente.
Forzar reinicio si la tarea de Windows falla.
waptservice: usar sys._exit(10) para pedirle a nssm que reinicie el servicio en caso de excepción no controlada en waptservice (bucles...).
Cliente wapt: no registrar/almacenar en la base de datos Wapt.runstatus si no ha cambiado.