Zur Schließung von Sicherheitslücken stellt WebSphere bereits vor Veröffentlichung eines Fixpacks einzelne Interim Fixes bereit. Ein jüngstes Beispiel ist PH34690, der CVE-2021-29736 mit CVSS 5 korrigiert. HCL hat diesen vor einigen Tagen im Flexnet zum Download bereitgestellt, nachdem solche Fixe für HCL-Kunden mittlerweile nicht mehr direkt bei IBM heruntergeladen werden können. Wer einen IBM-Supportvertrag hat, kann dagegen direkt dort seine Fixe beziehen.
Dieser Artikel zeigt, wie man den Fix unter WebSphere 8.5.5 einer HCL Connections 6.5 Umgebung installiert.
WebSphere komplett beenden
Sowohl der DeploymentManager als auch der Node müssen vor dem Update beendet werden:
cd /opt/IBM/WebSphere/AppServer/profiles/CnxNode01/bin
./stopNode.sh -stopservers
cd /opt/IBM/WebSphere/AppServer/profiles/Dmgr01/bin
./stopManager.shEinspielen des Fixes
/opt/IBM/InstallationManager/eclipse/tools/imcl updateAll -repositories /tmp/was-fix
Installed 8.5.5.12-WS-WAS-IFPH34690_8.5.5012.20210714_2203 to the /opt/IBM/WebSphere/AppServer directory. Es werden sämtliche Fixe mit updateAll aktualisiert, wie in diesem Artikel beschrieben. Dann muss keine Id angegeben werden und IM installiert automatisch alle Fixe. Die Installation unterscheidet sich nicht von WebSphere Fixpacks – in beiden Fällen erhält man ein Repository für den Installation Manager.
Anschließend kann man sowohl den Deployment-Manager, als auch den Node wieder starten:
cd /opt/IBM/WebSphere/AppServer/profiles/Dmgr01/bin
./startManager.sh
cd /opt/IBM/WebSphere/AppServer/profiles/CnxNode01/bin
./startNode.shVerifizieren, dass der Fix eingespielt wurde
Mit dem Schalter listInstalledPackages kann uns imcl ausgeben, welche Pakete derzeit installiert sind. Ich habe dies vor dem Einspielen des Updates durchgeführt:
$ /opt/IBM/InstallationManager/eclipse/tools/imcl listInstalledPackages -long
/opt/IBM/InstallationManager/eclipse : com.ibm.cic.agent_1.8.9001.20180709_1302 : IBM® Installation Manager : 1.8.9.1
/opt/IBM/WebSphere/AppServer : com.ibm.websphere.ND.v85_8.5.5016.20190801_0951 : IBM WebSphere Application Server Network Deployment : 8.5.5.16
/opt/HCL/Connections : com.ibm.connections_6.5.0.0_20200319_2231 : HCL Connections : 6.5.0.0_CR1
/opt/IBM/HTTPServer : com.ibm.websphere.IHS.v85_8.5.5016.20190801_0951 : IBM HTTP Server for WebSphere Application Server : 8.5.5.16
/opt/IBM/WebSphere/Plugins : com.ibm.websphere.PLG.v85_8.5.5016.20190801_0951 : Web Server Plug-ins for IBM WebSphere Application Server : 8.5.5.16
/opt/IBM/WebSphere/Toolbox : com.ibm.websphere.WCT.v85_8.5.5016.20190801_0951 : WebSphere Customization Toolbox : 8.5.5.16Nach dem Update:
$ /opt/IBM/InstallationManager/eclipse/tools/imcl listInstalledPackages -long
/opt/IBM/InstallationManager/eclipse : com.ibm.cic.agent_1.8.9001.20180709_1302 : IBM® Installation Manager : 1.8.9.1
/opt/IBM/WebSphere/AppServer : com.ibm.websphere.ND.v85_8.5.5016.20190801_0951 : IBM WebSphere Application Server Network Deployment : 8.5.5.16
/opt/IBM/WebSphere/AppServer : 8.5.5.12-WS-WAS-IFPH34690_8.5.5012.20210714_2203 : 8.5.5.12-WS-WAS-IFPH34690 : 8.5.5012.20210714_2203
/opt/HCL/Connections : com.ibm.connections_6.5.0.0_20200319_2231 : HCL Connections : 6.5.0.0_CR1
/opt/IBM/HTTPServer : com.ibm.websphere.IHS.v85_8.5.5016.20190801_0951 : IBM HTTP Server for WebSphere Application Server : 8.5.5.16
/opt/IBM/WebSphere/Plugins : com.ibm.websphere.PLG.v85_8.5.5016.20190801_0951 : Web Server Plug-ins for IBM WebSphere Application Server : 8.5.5.16
/opt/IBM/WebSphere/Toolbox : com.ibm.websphere.WCT.v85_8.5.5016.20190801_0951 : WebSphere Customization Toolbox : 8.5.5.16Hier haben wir nun einen zweiten AppServer-Eintrag, der den Fix enthält. Vereinfachend kann man auch nach der Id des Fixes suchen:
$ /opt/IBM/InstallationManager/eclipse/tools/imcl listInstalledPackages -long | grep 34690
/opt/IBM/WebSphere/AppServer : 8.5.5.12-WS-WAS-IFPH34690_8.5.5012.20210714_2203 : 8.5.5.12-WS-WAS-IFPH34690 : 8.5.5012.20210714_2203Entfernen eines Fix
Zuerst alle Pakete auflisten und die Paket-Id des gewünschten Fixes ermitteln:
# /opt/IBM/InstallationManager/eclipse/tools/imcl listInstalledPackages -long
/opt/IBM/InstallationManager/eclipse : com.ibm.cic.agent_1.8.5001.20161016_1705 : IBM® Installation Manager : 1.8.5.1
/opt/IBM/WebSphere/AppServer : com.ibm.websphere.ND.v85_8.5.5021.20220202_1245 : IBM WebSphere Application Server Network Deployment : 8.5.5.21
/opt/IBM/WebSphere/AppServer : 8.5.5.0-WS-WASProd-IFPH46342_8.5.5000.20220706_1400 : 8.5.5.0-WS-WASProd-IFPH46342 : 8.5.5000.20220706_1400
/opt/IBM/WebSphere/AppServer : 8.5.5.0-WS-WASProd-IFPH50116_8.5.5000.20221017_0656 : 8.5.5.0-WS-WASProd-IFPH50116 : 8.5.5000.20221017_0656
/opt/IBM/WebSphere/AppServer : 8.5.5.10-WS-WASProd-IFPH43148_8.5.5010.20220302_1546 : 8.5.5.10-WS-WASProd-IFPH43148 : 8.5.5010.20220302_1546
/opt/IBM/WebSphere/AppServer : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH43778_8.5.5011.20220228_1236 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH43778 : 8.5.5011.20220228_1236
/opt/IBM/WebSphere/AppServer : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH46425_8.5.5011.20220531_1535 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH46425 : 8.5.5011.20220531_1535
/opt/IBM/WebSphere/AppServer : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH48649_8.5.5011.20220826_1212 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH48649 : 8.5.5011.20220826_1212
/opt/IBM/WebSphere/AppServer : 8.5.5.20-WS-WAS-IFPH44339_8.5.5020.20220517_1553 : 8.5.5.20-WS-WAS-IFPH44339 : 8.5.5020.20220517_1553
/opt/IBM/WebSphere/AppServer : 8.5.5.21-WS-WAS-IFPH46816_8.5.5021.20220824_1900 : 8.5.5.21-WS-WAS-IFPH46816 : 8.5.5021.20220824_1900
/opt/HCL/Connections : com.ibm.connections_7.0.0.0_20201123_1452 : HCL Connections : 7.0.0.0
/opt/IBM/HTTPServer : com.ibm.websphere.IHS.v85_8.5.5021.20220202_1245 : IBM HTTP Server for WebSphere Application Server : 8.5.5.21
/opt/IBM/HTTPServer : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH43778_8.5.5011.20220228_1236 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH43778 : 8.5.5011.20220228_1236
/opt/IBM/HTTPServer : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH46425_8.5.5011.20220531_1535 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH46425 : 8.5.5011.20220531_1535
/opt/IBM/HTTPServer : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH48649_8.5.5011.20220826_1212 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH48649 : 8.5.5011.20220826_1212
/opt/IBM/HTTPServer : 8.5.5.21-WS-WASIHS-MultiOS-IFPH46897_8.5.5021.20220608_0808 : 8.5.5.21-WS-WASIHS-MultiOS-IFPH46897 : 8.5.5021.20220608_0808
/opt/IBM/WebSphere/Plugins : com.ibm.websphere.PLG.v85_8.5.5021.20220202_1245 : Web Server Plug-ins for IBM WebSphere Application Server : 8.5.5.21
/opt/IBM/WebSphere/Plugins : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH43778_8.5.5011.20220228_1236 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH43778 : 8.5.5011.20220228_1236
/opt/IBM/WebSphere/Plugins : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH46425_8.5.5011.20220531_1535 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH46425 : 8.5.5011.20220531_1535
/opt/IBM/WebSphere/Plugins : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH48649_8.5.5011.20220826_1212 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH48649 : 8.5.5011.20220826_1212
/opt/IBM/WebSphere/Toolbox : com.ibm.websphere.WCT.v85_8.5.5000.20130514_1044 : WebSphere Customization Toolbox : 8.5.5.0
# /opt/IBM/InstallationManager/eclipse/tools/imcl uninstall 8.5.5.21-WS-WAS-IFPH46816_8.5.5021.20220824_1900
Uninstalled 8.5.5.21-WS-WAS-IFPH46816_8.5.5021.20220824_1900 from the /opt/IBM/WebSphere/AppServer directory.Mehrere Paket-Ids können mit Komma getrennt angegeben werden.
Vorherige Informationen (28.10.2022 aktualisiert)
In der bisherigen Version hatte ich beschrieben, wie zunächst das Zip-Archiv entpackt wird. Dies ist nicht nötig, man kann direkt auf das Archiv verweisen. Auch die Id des Fixes benötigt man nicht zwingend. Den vorherigen Teil zeigt folgender Abschnitt:
mkdir /tmp/was-fix
unzip 8.5.5.12-ws-was-ifph34690.zip -d /tmp/was-fixBei Updates von Connections kann man diese mit imcl listAvaliablePackages auslesen, das scheint bei den WebSphere-Fixes aus bislang ungeklärten Gründen nicht zu funktionieren. Alternativ lese ich diese daher aus der repository.xml aus dem entpackten ZIP-Fix aus:
$ grep "<fix" /tmp/was-fix/repository.xml
<fix id='8.5.5.12-WS-WAS-IFPH34690' version='8.5.5012.20210714_2203' offeringId='EnhancedFix' offeringVersion='0.0.0.EnhancedFix'>id=’8.5.5.12-WS-WAS-IFPH34690′ liefert uns die Id, um exakt diesen Fix zu installieren:
/opt/IBM/InstallationManager/eclipse/tools/imcl install 8.5.5.12-WS-WAS-IFPH34690 -installationDirectory /opt/IBM/WebSphere/AppServer -repositories /tmp/was-fix
Installed 8.5.5.12-WS-WAS-IFPH34690_8.5.5012.20210714_2203 to the /opt/IBM/WebSphere/AppServer directory. Hilfsskripte zur Installation mehrere Interim Fixes
Entpacken (setzt Voraus, dass alle Fixes als Zip-Archiv im aktuellen Verzeichnis vorliegen)
for zip in $(ls *.zip); do unzip "$zip" -d $(echo $zip | grep -E -io 'ifph([0-9]+)'); doneDies erzeugt einen kurzen Ordner mit der IFPH-Id, sodass die Pfade beim Installieren nicht unnötig lang werden.
Ausgabe sortiert nach Id:
$ for zip in $(ls *.zip); do echo $zip | grep -E -io 'ifph([0-9]+)'; done | sort -n
ifph43148
IFPH43778
ifph44339
ifph46342
IFPH46425
ifph46816
ifph46897
IFPH48649
ifph50116