Versione di sicurezza per WAPT 1.8.2 e WAPT 2.0
Pubblicato: 7 ottobre 2021 - 21:04
Ciao,
è appena stata pubblicata una release di sicurezza per Wapt 2.0 Enterprise e Wapt 1.8.2 Enterprise e Community Edition. Il changelog e i punteggi CVSS sono disponibili qui sotto. WAPT 2.1 non è interessato. Per l'aggiornamento, si prega di seguire la documentazione all'indirizzo .
A security release for Wapt 2.0 Enterprise Edition and Wapt 1.8.2 Enterprise and Community Edition has been published. The changelog and CVSS scrore are listed below. WAPT 2.1 is not impacted. Please see the upgrade documentation on https://www.wapt.fr/en/doc
Cordiali saluti,
Denis.
Changelog 2.0.0.9470
====================
Questa è una release di sicurezza . Tutte le versioni di Wapt 2.0 precedenti alla 2.0.0.9470 sono interessate
* [SEC] correzione per la vulnerabilità in urllib3 CVE-2021-33503 (punteggio CVSS: 7.5 Alto, CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
* [SEC] Sanitizzazione del nome file utilizzato durante il download di file in locale del cliente. (Punteggio CVSS: 7.5 Alto, CVSS;3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C)
Applicato su wget e nomi di file locali per i pacchetti scaricati (i caratteri '\\' '..' @ | ( ) : / , \ [ ] < > * ? ; ` \n vengono rimossi o sostituiti)
* [AGGIORNAMENTO] Wapt.remove: rilancia l'eccezione se c'è un'eccezione nello script di disinstallazione
restituisce il traceback nella chiave 'errors'
restituisce il codice 3 se ci sono errori durante la rimozione dei pacchetti in wapt-get remove
* [CORREZIONE] gestisce i caratteri jolly nei certificati nella configurazione di waptconsole e crea
l'interfaccia utente di aggiornamento di waptsetup nella configurazione dei repository esterni quando si imposta il bundle CA
* [CORREZIONE] usa PackageEntry.localpath solo per lo stato locale di un pacchetto.
* [UPD] suddivisione di PackageEntry non_control_attributes in repo_attributes e local_attributes.
local_attributes non viene inserito nell'indice Packages poiché non è rilevante per l'accesso remoto.
* [UPD] aggiornamento dei requisiti dei moduli python in seguito all'aggiornamento di urllib3
idna==3.2 (da 2.10)
certifi==2021.5.30 (da 2020.12.5)
requests==2.26.0 (da 2.25)
urllib3==1.26.6 (da 1.26.5)
Changelog 1.8.2.7388
====================
Questa è una versione di sicurezza. Tutte le versioni di Wapt 1.8 precedenti alla 1.8.2.7388
Registro delle modifiche di sicurezza wapt-1.8.2.7388*
* [SEC] Correzione della vulnerabilità in urllib3 CVE-2021-33503 (punteggio CVSS: 7.5 Alto, CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
* [SEC] Sanificazione del nome del file utilizzato durante il download dei file sul client locale. (Punteggio CVSS: 7.5 Alto, CVSS;3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C)
Applicato su wget e nomi di file locali per i pacchetti scaricati (i caratteri '\\' '..' @ | ( ) : / , \ [ ] < > * ? ; ` \n vengono rimossi o sostituiti)
* [CORREZIONE] Configurazione Waptconsole: quando si recupera il certificato https lato server, non scrivere la stringa UTF16 per in waptconfig. Rimuovere i caratteri jolly dal CN del certificato per comporre il nome del file del certificato.
* [AGGIORNAMENTO] aggiornare i requisiti dei moduli python in seguito all'aggiornamento di urllib3
certifi==2021.5.30
chardet==3.0.2
idna==2.8
requests==2.21.0
urllib3==1.24.3
è appena stata pubblicata una release di sicurezza per Wapt 2.0 Enterprise e Wapt 1.8.2 Enterprise e Community Edition. Il changelog e i punteggi CVSS sono disponibili qui sotto. WAPT 2.1 non è interessato. Per l'aggiornamento, si prega di seguire la documentazione all'indirizzo .
A security release for Wapt 2.0 Enterprise Edition and Wapt 1.8.2 Enterprise and Community Edition has been published. The changelog and CVSS scrore are listed below. WAPT 2.1 is not impacted. Please see the upgrade documentation on https://www.wapt.fr/en/doc
Cordiali saluti,
Denis.
Changelog 2.0.0.9470
====================
Questa è una release di sicurezza . Tutte le versioni di Wapt 2.0 precedenti alla 2.0.0.9470 sono interessate
* [SEC] correzione per la vulnerabilità in urllib3 CVE-2021-33503 (punteggio CVSS: 7.5 Alto, CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
* [SEC] Sanitizzazione del nome file utilizzato durante il download di file in locale del cliente. (Punteggio CVSS: 7.5 Alto, CVSS;3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C)
Applicato su wget e nomi di file locali per i pacchetti scaricati (i caratteri '\\' '..' @ | ( ) : / , \ [ ] < > * ? ; ` \n vengono rimossi o sostituiti)
* [AGGIORNAMENTO] Wapt.remove: rilancia l'eccezione se c'è un'eccezione nello script di disinstallazione
restituisce il traceback nella chiave 'errors'
restituisce il codice 3 se ci sono errori durante la rimozione dei pacchetti in wapt-get remove
* [CORREZIONE] gestisce i caratteri jolly nei certificati nella configurazione di waptconsole e crea
l'interfaccia utente di aggiornamento di waptsetup nella configurazione dei repository esterni quando si imposta il bundle CA
* [CORREZIONE] usa PackageEntry.localpath solo per lo stato locale di un pacchetto.
* [UPD] suddivisione di PackageEntry non_control_attributes in repo_attributes e local_attributes.
local_attributes non viene inserito nell'indice Packages poiché non è rilevante per l'accesso remoto.
* [UPD] aggiornamento dei requisiti dei moduli python in seguito all'aggiornamento di urllib3
idna==3.2 (da 2.10)
certifi==2021.5.30 (da 2020.12.5)
requests==2.26.0 (da 2.25)
urllib3==1.26.6 (da 1.26.5)
Changelog 1.8.2.7388
====================
Questa è una versione di sicurezza. Tutte le versioni di Wapt 1.8 precedenti alla 1.8.2.7388
Registro delle modifiche di sicurezza wapt-1.8.2.7388*
* [SEC] Correzione della vulnerabilità in urllib3 CVE-2021-33503 (punteggio CVSS: 7.5 Alto, CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
* [SEC] Sanificazione del nome del file utilizzato durante il download dei file sul client locale. (Punteggio CVSS: 7.5 Alto, CVSS;3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C)
Applicato su wget e nomi di file locali per i pacchetti scaricati (i caratteri '\\' '..' @ | ( ) : / , \ [ ] < > * ? ; ` \n vengono rimossi o sostituiti)
* [CORREZIONE] Configurazione Waptconsole: quando si recupera il certificato https lato server, non scrivere la stringa UTF16 per in waptconfig. Rimuovere i caratteri jolly dal CN del certificato per comporre il nome del file del certificato.
* [AGGIORNAMENTO] aggiornare i requisiti dei moduli python in seguito all'aggiornamento di urllib3
certifi==2021.5.30
chardet==3.0.2
idna==2.8
requests==2.21.0
urllib3==1.24.3