Attention : le support de WAPT 1.8.2 a pris fin le 30 juin 2022.

Il y a plusieurs vulnérabilité présente dans la branche WAPT 1.8.2.7393. Merci de mettre à jour sur la version supportée la plus récente. Liste des CVEs (non exhaustive) :
  • * python engine : python 2.7 (CVE-2020-10735, CVE-2015-20107, CVE-2022-0391, CVE-2021-23336, CVE-2021-3177, CVE-2020-27619, CVE-2020-26116, CVE-2019-20907, CVE-2020-8492, etc.)
  • * cryptography : openssl : CVE-2022-2068, CVE-2022-1292, CVE-2022-0778, CVE-2021-4160, CVE-2021-3712, CVE-2021-23841, CVE-2021-23840, CVE-2021-23839, CVE-2020-1971, CVE-2020-1968, CVE-2019-1551
  • * python dependencies : cryptography (CVE-2020-36242, CVE-2020-25659), eventlet (CVE-2021-21419), jinja2 (CVE-2020-28493), psutil (CVE-2019-18874), waitress (CVE-2022-31015), lxml (CVE-2021-4381, CVE-2021-28957, CVE-2020-27783, CVE-2018-19787), ujson (CVE-2022-31117, CVE-2022-31116, CVE-2021-45958), python-ldap (CVE-2021-46823)

Mettre à jour WAPT de 1.3 vers 1.6 avec Debian

Prélude

Note

Nous supposons que votre serveur WAPT est installé sur un système Debian 8 minimum (x64). Si ce n’est pas le cas, vous pouvez suivre la documentation de mise à jour.

Cette procédure vise exclusivement la migration de WAPT 1.3 vers WAPT 1.6.

Elément

WAPT 1.3

WAPT 1.6

Base de données

MongoDB

PostgreSQL

Serveur Web

Apache2

Nginx

Agent WAPT

l’agent écoute en local sur le port 8088

l’agent initie et maintient une websocket avec le serveur.

Signature

Hashes sha1

un certificat Code Signing est désormais requis ; les attributs du fichier control sont signés en sha256.

Toutes ces différences induisent les manipulations décrites ci-après à scrupuleusement effectuer dans l’ordre.

Installer systemd et ca-certificates

  • lancer l’installation de systemd :

apt install systemd
  • installer ca-certificates :

apt install ca-certificates
  • redémarrer le serveur WAPT :

reboot

Désinstaller WAPT 1.3 du serveur Debian

apt remove tis-waptrepo tis-waptsetup tis-waptserver
systemctl stop apache2
systemctl disable apache2

Configurer le serveur Debian

apt update && apt upgrade -y
apt install apt-transport-https lsb-release
wget -O - https://wapt.tranquil.it/debian/tiswapt-pub.gpg  | apt-key add -
echo  "deb  https://wapt.tranquil.it/debian/wapt-1.6/ $(lsb_release -c -s) main"  > /etc/apt/sources.list.d/wapt.list
apt update

Installer la nouvelle version sur le serveur Debian

apt install tis-waptserver tis-waptsetup

Note

L’installation peut vous demander le royaume Kerberos. Vous pouvez ignorer, appuyer sur Entrer pour passer l’étape.

Lancer le script de post-configuration

Note

  • il est recommandé de lancer la post-configuration après chaque mise à jour pour que le serveur utilise le format de configuration le plus sûr ;

  • il n’est pas obligatoire de redéfinir un mot de passe pour la console WAPT lors de la post-configuration ;

/opt/wapt/waptserver/scripts/postconf.sh

Le postconf va vous proposer de changer le mot de passe ou de poursuivre, vous pouvez change le mot de passe si vous le souhaitez.

Le postconf va ensuite détecter que vous venez d’une version 1.3 et va tenter de lancer une migration de la base de donnée MongoDB vers PostgreSQL. Acceptez cette migration.

Le postconf va ensuite vous proposer de configurer Nginx, vous pouvez accepter.

Démarrer le serveur WAPT sur le serveur Debian

systemctl enable waptserver
systemctl start waptserver

Nettoyer le serveur Debian

A l’issue de l’installation, il faut absolument nettoyer le serveur WAPT.

En effet, WAPT utilise désormais Nginx pour son serveur Web et PostgreSQL pour la base de donnée d’inventaire.

apt remove apache2 mongodb
apt autoremove
apt clean

Installer la nouvelle console WAPT

  • télécharger waptsetup : https://srvwapt.mydomain.lan/wapt/waptsetup-tis.exe ;

  • lancer l’installation ; la configuration des url du repo et du serveur n’a pas changé ;

  • C:\Program Files (x86)\wapt\

  • vérifier que le serveur WAPT fonctionne correctement en cliquant sur les petites clé à molette et en cliquant sur le bouton Vérifier ;

Vous pouvez maintenant passer à la suite pour générer les clés de signature !!