GSB 7.0 Standardlösung

Springe direkt zu:

Version: GSB7.2GSB 7.2.4

Dieses ServicePack enthält den Patch der Ghostcat-Sicherheitslücke der Tomcats im GSB-7.2-Kern.

Folgenden Komponentenaktualisierungen sind in dem ServicePack enthalten

  • Kern

Inhalte des Patches

  • Tomcat 7.0.103
  • Tomcat 8.5.53
  • Erweiterungen des Tomcat-Build-Property-Dateien

Installation der Patches

Installationsvoraussetzung

Die GSB-Liefereinheiten (Kern und Mandanten) sind wie im Administrationshandbuch beschrieben ausgepackt.

Das GSB-Release ist aktiviert ("sh ..../basis/bin/gsbinstall activateRelease").

Die Patches liegen in einem Verzeichnis auf dem Zielrechner (im Folgenden der Pfad "~/software/ServicePack-7.2.4_1147").

Schritt 1: Vorbereitung

Login auf dem zu bearbeitenden Rechner und Wechsel in das Verzeichnis, das die oben ausgepackte GSB-Software enthält.

Meistens handelt es sich um das HOME-Verzeichnis des Benutzers cmadmin.

Innerhalb des aktuellen Arbeitsverzeichnisses muss das zu patchende GSB-Release im Pfad gsb/active liegen.

Schritt 2: Ersetzen der alten CoreMedia-Software

- nicht notwendig -

Schritt 3: Entfernen von nicht mehr benötigten Dateien und Ordnern

- nicht notwendig -

Schritt 4: Auspacken der Patches

unzip -qo ~/software/ServicePack-7.2.4_1147/ServicePack-7.2.4_1147-active.zip

Schritt 5: Installation des Patches

Um die Konsistenz der GSB-Infrastruktur zu gewährleisten, bietet sich eine Aktualisierung der kompletten Infrastruktur an.

Nachdem auf allen Servern die GSB-Komponenten gestoppt worden sind, ist auf allen Servern das folgende Kommando auszuführen:

gsbinstall rebuildSystem

Danach können die GSB-Komponenten wieder gestartet werden.

Schritt 6: Content-Import

Dieser Arbeitsschritt entfällt bei diesem Patch.

Weitere Hinweise (Tomcat)

In Verbindung mit diesen neuen Tomcat-Versionen werden die Tomcat-Konfigurationen um drei neue Attribute im AJP-Connector erweitert.

Sie werden mit folgenden neuen Build-Properties in den Dateien build_*_tomcat*.properties konfiguriert:

  1. IP-Nummer fuer den AJP-Connector
  2. wenn nicht definiert, dann lauscht der AJP-Connector nur auf 127.0.0.1.
    tomcat_ajp_address=::
  1. Secret-Definition fuer den AJP-Connector
    tomcat_ajp_secretRequired=false
    tomcat_ajp_secret=

Die obige (voreingestellte) Konfiguration stellt das alte Verhalten des Tomcat vor dem Patch wieder her.

Wenn man zusätzliche Sicherheits-Features nutzen will, dann kann man Folgendes definieren.

1. Einschränkung des Netzwerk-Interface, auf dem der AJP-Connector lauscht, z. B. nur lokale Verbindungen:

tomcat_ajp_address=127.0.0.1

2. Akzeptanz nur von Verbindungsversuchen, die ein geheimes Kennwort kennen:

tomcat_ajp_secretRequired=true

tomcat_ajp_secret=geheimesKennwort

Dieses Kennwort muss dann bei allen Clients konfiguriert werden, die eine AJP-Verbindung aufbauen wollen, z. B. das Modul mod_jk eines Apache:

mod_jk.conf:

JkWorkerProperty worker.meinTomcat.secret=geheimesKennwort