Zielgruppe BetriebVersion: GSB10.0Release Notes GSB 10.0.5 - Patch

• Bugfixes (GSBSUP-250)
• Installation

Der Patch GSB 10.0.5 enthält lediglich einen Patch der Site-Applikation der GSB Version 10.0.4. Diese Version ist somit auch Installationsvoraussetzung für die Einspielung des Patches.

Bugfixes (GSBSUP-250)

Der Wert des view-Parameters wird auf erlaubte Zeichen geprüft, um eine Anfälligkeit für Directory-Traversal zu beheben.

Erlaubte Werte für den view-Parameter sind Buchstaben, Ziffern, der Bindestrich ('-'), der Unterstrich ('_') sowie die eckigen Klammern ('[', ']') für die Angabe einer View-Variante.

Konkret muss der Wert dem folgenden regulären Ausdruck entsprechen: ^[\w-]+(\[[\w-]+\])?$

Hinweis:
Der Request wird mit einem http 400-Response beantwortet, wenn der view-Parameter einen nicht erlaubten Wert enthält.

Installation

Der Patch tauscht die Site-Applikation des Release 10.0.4 aus. Es wird davon ausgegangen, dass die folgenden Schritte unter Beachtung/Berücksichtigung der Konventionen der GSB 10 Installationsanleitung erfolgen. D.h. die Schritte werden mit der Kennung gsbos und dem in der Installationsanleitung skizzierten Verzeichnislayout durchgeführt.

Schritt 1 Löschen der Site Applikation

Die Site-Applikation im Release 10.0.4 muss zunächst gelöscht werden. Hierzu wird der Ordner ~/releases/core/10.0.4/site gelöscht

Schritt 2 Aktualisierung der Site Applikation

Anschließend wird der site-Ordner des Patches in den Ordner ~/releases/core/10.0.4/ kopiert. Damit ist die Site-Applikation des Release 10.0.4 durch die Version des Patches ausgetauscht worden.

Schritt 3 Vorbereitung des Platform-Bundle

Für eine einfachere Identifikation des Platform-Bundle sollte die Versionnummer des Bundle angepasst werden. Die Versionsnummer des Bundle wird in der Datei config/platformBundle.cfg in der Variable platform_version definiert. Es bietet sich an, den Wert vom Release Default 10.0.4 auf 10.0.5 zu ändern.

Schritt 4 Erstellung des Platform-Bundle

Die Erstellung des Platform-Bundle wird wie in der GSB 10 Installationsanleitung beschrieben durchgeführt.

Schritt 5 Installation des Platform-Bundle

Der Patch umfasst lediglich die Aktualisierung der Site-Applikation, so dass nicht zwingend eine Installation aller GSB Komponenten durchgeführt werden muss. Stattdessen reicht es aus, den Service-Typen delivery zu aktualisieren indem die Installation mit Hilfe des Skriptes install-gsbos.sh und dem Parameter -t delivery durchgeführt wird (s.a. Installationsanleitung).

Hinweis:
Die Installation des Patches muss auf allen Servern einer Infrastruktur erfolgen auf denen Instanzen des Service-Typen delivery betrieben werden.

Schritt 6 Aktivierung des Patches

Nach einem Restart der delivery Service-Instanzen wird die neue site-Applikation geladen und damit der Schutz des view-Parameters aktiviert.