{"id":7506,"date":"2021-09-16T21:58:17","date_gmt":"2021-09-16T19:58:17","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=7506"},"modified":"2022-10-28T22:45:22","modified_gmt":"2022-10-28T20:45:22","slug":"websphere-sicherheitsupdates-interim-fixes-fuer-hcl-connections-installieren-am-beispiel-ph34690","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/websphere-sicherheitsupdates-interim-fixes-fuer-hcl-connections-installieren-am-beispiel-ph34690\/","title":{"rendered":"WebSphere Sicherheitsupdates (interim fixes) f\u00fcr HCL Connections installieren am Beispiel PH34690"},"content":{"rendered":"

Zur Schlie\u00dfung von Sicherheitsl\u00fccken stellt WebSphere bereits vor Ver\u00f6ffentlichung eines Fixpacks einzelne Interim Fixes bereit. Ein j\u00fcngstes Beispiel ist PH34690<\/a>, der CVE-2021-29736 mit CVSS 5 korrigiert. HCL hat diesen vor einigen Tagen im Flexnet zum Download bereitgestellt, nachdem solche Fixe f\u00fcr HCL-Kunden mittlerweile nicht mehr direkt bei IBM heruntergeladen werden k\u00f6nnen. Wer einen IBM-Supportvertrag hat, kann dagegen direkt dort seine Fixe beziehen. <\/p>\n

Dieser Artikel zeigt, wie man den Fix unter WebSphere 8.5.5 einer HCL Connections 6.5 Umgebung installiert.<\/p>\n

WebSphere komplett beenden<\/h2>\n

Sowohl der DeploymentManager als auch der Node m\u00fcssen vor dem Update beendet werden:<\/p>\n

cd \/opt\/IBM\/WebSphere\/AppServer\/profiles\/CnxNode01\/bin\n.\/stopNode.sh -stopservers\n\ncd \/opt\/IBM\/WebSphere\/AppServer\/profiles\/Dmgr01\/bin\n.\/stopManager.sh<\/code><\/pre>\n
Einspielen des Fixes<\/h2>\n
\/opt\/IBM\/InstallationManager\/eclipse\/tools\/imcl updateAll -repositories \/tmp\/was-fix\nInstalled 8.5.5.12-WS-WAS-IFPH34690_8.5.5012.20210714_2203 to the \/opt\/IBM\/WebSphere\/AppServer directory. <\/code><\/pre>\n
Es werden s\u00e4mtliche Fixe mit updateAll<\/strong> aktualisiert, wie in diesem Artikel beschrieben<\/a>. Dann muss keine Id angegeben werden und IM installiert automatisch alle Fixe. Die Installation unterscheidet sich nicht von WebSphere Fixpacks – in beiden F\u00e4llen erh\u00e4lt man ein Repository f\u00fcr den Installation Manager.<\/p>\n
Anschlie\u00dfend kann man sowohl den Deployment-Manager, als auch den Node wieder starten:<\/p>\n
cd \/opt\/IBM\/WebSphere\/AppServer\/profiles\/Dmgr01\/bin\n.\/startManager.sh\n\ncd \/opt\/IBM\/WebSphere\/AppServer\/profiles\/CnxNode01\/bin\n.\/startNode.sh<\/code><\/pre>\n
Verifizieren, dass der Fix eingespielt wurde<\/h2>\n
Mit dem Schalter listInstalledPackages <\/strong>kann uns imcl <\/strong>ausgeben, welche Pakete derzeit installiert sind. Ich habe dies vor dem Einspielen des Updates durchgef\u00fchrt:<\/p>\n
$ \/opt\/IBM\/InstallationManager\/eclipse\/tools\/imcl listInstalledPackages -long\n\/opt\/IBM\/InstallationManager\/eclipse : com.ibm.cic.agent_1.8.9001.20180709_1302 : IBM\u00ae Installation Manager : 1.8.9.1\n\/opt\/IBM\/WebSphere\/AppServer : com.ibm.websphere.ND.v85_8.5.5016.20190801_0951 : IBM WebSphere Application Server Network Deployment : 8.5.5.16\n\/opt\/HCL\/Connections : com.ibm.connections_6.5.0.0_20200319_2231 : HCL Connections : 6.5.0.0_CR1\n\/opt\/IBM\/HTTPServer : com.ibm.websphere.IHS.v85_8.5.5016.20190801_0951 : IBM HTTP Server for WebSphere Application Server : 8.5.5.16\n\/opt\/IBM\/WebSphere\/Plugins : com.ibm.websphere.PLG.v85_8.5.5016.20190801_0951 : Web Server Plug-ins for IBM WebSphere Application Server : 8.5.5.16\n\/opt\/IBM\/WebSphere\/Toolbox : com.ibm.websphere.WCT.v85_8.5.5016.20190801_0951 : WebSphere Customization Toolbox  : 8.5.5.16<\/code><\/pre>\n
Nach dem Update:<\/p>\n
$ \/opt\/IBM\/InstallationManager\/eclipse\/tools\/imcl listInstalledPackages -long                                            \n\/opt\/IBM\/InstallationManager\/eclipse : com.ibm.cic.agent_1.8.9001.20180709_1302 : IBM\u00ae Installation Manager : 1.8.9.1\n\/opt\/IBM\/WebSphere\/AppServer : com.ibm.websphere.ND.v85_8.5.5016.20190801_0951 : IBM WebSphere Application Server Network Deployment : 8.5.5.16\n\/opt\/IBM\/WebSphere\/AppServer : 8.5.5.12-WS-WAS-IFPH34690_8.5.5012.20210714_2203 : 8.5.5.12-WS-WAS-IFPH34690 : 8.5.5012.20210714_2203\n\/opt\/HCL\/Connections : com.ibm.connections_6.5.0.0_20200319_2231 : HCL Connections : 6.5.0.0_CR1\n\/opt\/IBM\/HTTPServer : com.ibm.websphere.IHS.v85_8.5.5016.20190801_0951 : IBM HTTP Server for WebSphere Application Server : 8.5.5.16\n\/opt\/IBM\/WebSphere\/Plugins : com.ibm.websphere.PLG.v85_8.5.5016.20190801_0951 : Web Server Plug-ins for IBM WebSphere Application Server : 8.5.5.16\n\/opt\/IBM\/WebSphere\/Toolbox : com.ibm.websphere.WCT.v85_8.5.5016.20190801_0951 : WebSphere Customization Toolbox  : 8.5.5.16<\/code><\/pre>\n
Hier haben wir nun einen zweiten AppServer-Eintrag, der den Fix enth\u00e4lt. Vereinfachend kann man auch nach der Id des Fixes suchen:<\/p>\n
$ \/opt\/IBM\/InstallationManager\/eclipse\/tools\/imcl listInstalledPackages -long | grep 34690\n\/opt\/IBM\/WebSphere\/AppServer : 8.5.5.12-WS-WAS-IFPH34690_8.5.5012.20210714_2203 : 8.5.5.12-WS-WAS-IFPH34690 : 8.5.5012.20210714_2203<\/code><\/pre>\n
Entfernen eines Fix<\/h2>\n
Zuerst alle Pakete auflisten und die Paket-Id des gew\u00fcnschten Fixes ermitteln:<\/p>\n
# \/opt\/IBM\/InstallationManager\/eclipse\/tools\/imcl listInstalledPackages -long\n\/opt\/IBM\/InstallationManager\/eclipse : com.ibm.cic.agent_1.8.5001.20161016_1705 : IBM\u00ae Installation Manager : 1.8.5.1\n\/opt\/IBM\/WebSphere\/AppServer : com.ibm.websphere.ND.v85_8.5.5021.20220202_1245 : IBM WebSphere Application Server Network Deployment : 8.5.5.21\n\/opt\/IBM\/WebSphere\/AppServer : 8.5.5.0-WS-WASProd-IFPH46342_8.5.5000.20220706_1400 : 8.5.5.0-WS-WASProd-IFPH46342 : 8.5.5000.20220706_1400\n\/opt\/IBM\/WebSphere\/AppServer : 8.5.5.0-WS-WASProd-IFPH50116_8.5.5000.20221017_0656 : 8.5.5.0-WS-WASProd-IFPH50116 : 8.5.5000.20221017_0656\n\/opt\/IBM\/WebSphere\/AppServer : 8.5.5.10-WS-WASProd-IFPH43148_8.5.5010.20220302_1546 : 8.5.5.10-WS-WASProd-IFPH43148 : 8.5.5010.20220302_1546\n\/opt\/IBM\/WebSphere\/AppServer : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH43778_8.5.5011.20220228_1236 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH43778 : 8.5.5011.20220228_1236\n\/opt\/IBM\/WebSphere\/AppServer : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH46425_8.5.5011.20220531_1535 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH46425 : 8.5.5011.20220531_1535\n\/opt\/IBM\/WebSphere\/AppServer : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH48649_8.5.5011.20220826_1212 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH48649 : 8.5.5011.20220826_1212\n\/opt\/IBM\/WebSphere\/AppServer : 8.5.5.20-WS-WAS-IFPH44339_8.5.5020.20220517_1553 : 8.5.5.20-WS-WAS-IFPH44339 : 8.5.5020.20220517_1553\n\/opt\/IBM\/WebSphere\/AppServer : 8.5.5.21-WS-WAS-IFPH46816_8.5.5021.20220824_1900 : 8.5.5.21-WS-WAS-IFPH46816 : 8.5.5021.20220824_1900\n\/opt\/HCL\/Connections : com.ibm.connections_7.0.0.0_20201123_1452 : HCL Connections : 7.0.0.0\n\/opt\/IBM\/HTTPServer : com.ibm.websphere.IHS.v85_8.5.5021.20220202_1245 : IBM HTTP Server for WebSphere Application Server : 8.5.5.21\n\/opt\/IBM\/HTTPServer : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH43778_8.5.5011.20220228_1236 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH43778 : 8.5.5011.20220228_1236\n\/opt\/IBM\/HTTPServer : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH46425_8.5.5011.20220531_1535 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH46425 : 8.5.5011.20220531_1535\n\/opt\/IBM\/HTTPServer : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH48649_8.5.5011.20220826_1212 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH48649 : 8.5.5011.20220826_1212\n\/opt\/IBM\/HTTPServer : 8.5.5.21-WS-WASIHS-MultiOS-IFPH46897_8.5.5021.20220608_0808 : 8.5.5.21-WS-WASIHS-MultiOS-IFPH46897 : 8.5.5021.20220608_0808\n\/opt\/IBM\/WebSphere\/Plugins : com.ibm.websphere.PLG.v85_8.5.5021.20220202_1245 : Web Server Plug-ins for IBM WebSphere Application Server : 8.5.5.21\n\/opt\/IBM\/WebSphere\/Plugins : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH43778_8.5.5011.20220228_1236 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH43778 : 8.5.5011.20220228_1236\n\/opt\/IBM\/WebSphere\/Plugins : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH46425_8.5.5011.20220531_1535 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH46425 : 8.5.5011.20220531_1535\n\/opt\/IBM\/WebSphere\/Plugins : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH48649_8.5.5011.20220826_1212 : 8.5.5.11-WS-WASBundledSDK8-LinuxX64-IFPH48649 : 8.5.5011.20220826_1212\n\/opt\/IBM\/WebSphere\/Toolbox : com.ibm.websphere.WCT.v85_8.5.5000.20130514_1044 : WebSphere Customization Toolbox  : 8.5.5.0\n\n# \/opt\/IBM\/InstallationManager\/eclipse\/tools\/imcl uninstall 8.5.5.21-WS-WAS-IFPH46816_8.5.5021.20220824_1900\nUninstalled 8.5.5.21-WS-WAS-IFPH46816_8.5.5021.20220824_1900 from the \/opt\/IBM\/WebSphere\/AppServer directory.<\/code><\/pre>\n
Mehrere Paket-Ids k\u00f6nnen mit Komma getrennt angegeben werden.<\/p>\n
Vorherige Informationen (28.10.2022 aktualisiert)<\/h2>\n
In der bisherigen Version hatte ich beschrieben, wie zun\u00e4chst das Zip-Archiv entpackt wird. Dies ist nicht n\u00f6tig, man kann direkt auf das Archiv verweisen. Auch die Id des Fixes ben\u00f6tigt man nicht zwingend. Den vorherigen Teil zeigt folgender Abschnitt:<\/p>\n
mkdir \/tmp\/was-fix\nunzip 8.5.5.12-ws-was-ifph34690.zip -d \/tmp\/was-fix<\/code><\/pre>\n
Bei Updates von Connections kann man diese mit imcl listAvaliablePackages<\/strong> auslesen, das scheint bei den WebSphere-Fixes aus bislang ungekl\u00e4rten Gr\u00fcnden nicht zu funktionieren. Alternativ lese ich diese daher aus der repository.xml <\/strong>aus dem entpackten ZIP-Fix aus:<\/p>\n
$ grep "<fix" \/tmp\/was-fix\/repository.xml\n<fix id='8.5.5.12-WS-WAS-IFPH34690' version='8.5.5012.20210714_2203' offeringId='EnhancedFix' offeringVersion='0.0.0.EnhancedFix'><\/code><\/pre>\n
id=’8.5.5.12-WS-WAS-IFP<\/strong>H34690′ liefert uns die Id, um exakt diesen Fix zu installieren:<\/p>\n
\/opt\/IBM\/InstallationManager\/eclipse\/tools\/imcl install 8.5.5.12-WS-WAS-IFPH34690 -installationDirectory \/opt\/IBM\/WebSphere\/AppServer -repositories \/tmp\/was-fix\nInstalled 8.5.5.12-WS-WAS-IFPH34690_8.5.5012.20210714_2203 to the \/opt\/IBM\/WebSphere\/AppServer directory. <\/code><\/pre>\n
Hilfsskripte zur Installation mehrere Interim Fixes<\/h3>\n
Entpacken (setzt Voraus, dass alle Fixes als Zip-Archiv im aktuellen Verzeichnis vorliegen)<\/p>\n
for zip in $(ls *.zip); do unzip "$zip" -d $(echo $zip | grep -E -io 'ifph([0-9]+)'); done<\/code><\/pre>\n
Dies erzeugt einen kurzen Ordner mit der IFPH-Id, sodass die Pfade beim Installieren nicht unn\u00f6tig lang werden.<\/p>\n
Ausgabe sortiert nach Id:<\/p>\n
$ for zip in $(ls *.zip); do echo $zip | grep -E -io 'ifph([0-9]+)'; done | sort -n\nifph43148\nIFPH43778\nifph44339\nifph46342\nIFPH46425\nifph46816\nifph46897\nIFPH48649\nifph50116<\/code><\/pre>\n","protected":false},"excerpt":{"rendered":"
Zur Schlie\u00dfung von Sicherheitsl\u00fccken stellt WebSphere bereits vor Ver\u00f6ffentlichung eines Fixpacks einzelne Interim Fixes bereit. Ein j\u00fcngstes Beispiel ist PH34690, der CVE-2021-29736 mit CVSS 5 korrigiert. HCL hat diesen vor einigen Tagen im Flexnet zum Download bereitgestellt, nachdem solche Fixe f\u00fcr HCL-Kunden mittlerweile nicht mehr direkt bei IBM heruntergeladen werden k\u00f6nnen. Wer einen IBM-Supportvertrag hat, …<\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[765],"tags":[945,870,873],"class_list":["post-7506","post","type-post","status-publish","format-standard","hentry","category-hcl-connections","tag-fix","tag-updates","tag-websphere"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/7506","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=7506"}],"version-history":[{"count":8,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/7506\/revisions"}],"predecessor-version":[{"id":9616,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/7506\/revisions\/9616"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=7506"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=7506"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=7506"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}