5. Hotfix¶
5.2. Package 2 (HF2 / SHA256)¶
Le fonctionnement actuel qui préserve la santé du GCenter (Emergency Mode) lors d’un pic de charge a été optimisé et amélioré.
Les journaux de la WebUI du GCenter embarquent désormais plus d’informations.
L’analyse d’un script Powershell pouvait être faite en boucle si la donnée envoyée par la sonde de détection venait à être corrompue. Une meilleure gestion des erreurs a corrigé ce problème.
Il n’est plus nécessaire d’entrer une authentification lors de la première configuration de GUM avec un miroir local.
La barre de progression de GUM lors de diverses opérations ne reste plus bloquée.
La configuration des tâches planifiées dans GUM a été améliorée.
Le suivi des versions de Hotfix a été implémenté à la WebUI du GCenter.
L’affichage des unités de mesure Netdata a été corrigé, il se fait désormais en Mégabits.
La visibilité des interfaces depuis la WebUI du GCenter a été améliorée, le nom de celles-ci est associé à son adresse IP.
L’indicateur “Suspicious (archived)” dans le tableau “Live Critical Indicators” a été corrigé, il affiche désormais une information cohérente
Le monitoring Netdata des partitions /es et /backups a été ajouté.
L’activation du calcul du hash des fichiers reconstruits dans le profil du GCap ne reflétait pas la configuration réelle. L’affichage indique désormais la configuration effective.
Après plusieurs jours d’utilisation, il était impossible d’exporter les logs de l’appliance. La partition temporaire de 10Go utilisée par l’API du GCenter était à l’origine de ce problème. L’emplacement de celle-ci a été modifié, elle intègre désormais un plus grand espace de stockage permettant ainsi à l’API d’effectuer la préparation de l’archive chiffrée destinée à l’exportation des journaux du GCenter. Lors d’une restauration, les dossiers des GCaps concernant les analyses et la configuration étaient manquants. Au démarrage, le GCenter vérifie désormais la présence de ces dossiers.
La configuration d’une passerelle par défaut pour les interfaces n’est plus nécessaire.
Attention : l’application de ce correctif génère un redémarrage automatique de la WebUI du GCenter. Un rafraîchissement manuel de page est nécessaire.
5.3. Package 3 (HF3 / SHA256)¶
Dans le cas d’un export des alertes avec syslog et l’utilisation du protocole TCP, lorsqu’une interruption de service survenait entre le GCenter et le serveur syslog, la publication des alertes dans la base ElasticSearch était elle aussi interrompue.
Pour bénéficier des correctifs de sécurité et de stabilité, la version d’ELK a été mise à jour en version 6.8.11. (Lien)
Lorsqu’un utilisateur configurait la fonctionnalité SMTP Privacy sur le GCenter, celle-ci n’était pas prise en compte, elle est désormais fonctionnelle.
L’export des journaux du GCenter embarque désormais plus d’informations concernant les messages système.
Une corruption des données lors de l’export des journaux du GCenter pouvait survenir. Ce problème a été corrigé.
Une fuite de mémoire pouvait survenir sur le GCenter suite à l’application d’une mise à jour GUM planifiée à intervalle très réduite. Ce problème a été corrigé.
Dans certains cas la mise à jour des moteurs d’analyse via GUM peut échouer et atteindre le délai d’attente maximum. L’allongement de ce délai permet au GCenter d’effectuer l’ensemble des mises à jour nécessaires.
L’Emergency Mode a été optimisé en intégrant une meilleure itération des fichiers présents dans les différents répertoires et une meilleure gestion des erreurs lié à MALCORE.
Les événements powershell remontés par CODEBREAKER contenaient une valeur en SHA256 dans le champ MD5. L’information a été rectifié. Les événements powershell et shellcode remontés ont désormais les champs SHA256 et MD5. Remarque : Cette correction ne s’applique pas sur les anciens événements.
Lors d’une authentification avec un serveur LDAP (OpenLDAP uniquement) en TLS et avec un certificat autosigné au GCenter, les utilisateurs ne pouvaient pas s’authentifier. Ce problème a été corrigé.
L’indexation des documents provenant d’un événement de type “flow” contenant une valeur supérieure à 256 caractères dans le champ “flow.age” était impossible. La configuration ElasticSearch a été modifiée pour corriger ce problème.
Dans la configuration avancée d’un GCAP, si aucun ruleset n’était présent lors d’un “Save and Apply” une erreur 500 apparaissait sur la WebUI du GCenter . Ce problème est maintenant corrigé.
La suppression ainsi que l’édition des rulesets mis à jour depuis la version 2.5.3.10 vers la version 2.5.3.100 ne pouvaient être fait. Ce problème est maintenant corrigé.
5.4. Package 4 (HF4 / SHA256 )¶
Codebreaker : Amélioration de la détection des scripts Powershell et réduction du taux de faux positifs.
Licensing : Ajout des CGU Gatewatcher - après l’application du hotfix, ces dernières sont automatiquement acceptées.
Configuration du proxy / Configuration du monitoring externe : la saisie d’une adresse incorrecte entraînait une erreur 500 . L’erreur est maintenant prise en charge et affiche un message d’erreur.
GUM - Updates : La mise à jour d’un ruleset ne s’effectuait pas correctement. Le ruleset original devait être régénéré afin de prendre en compte les nouvelles règles incluses dans la mise à jour. La mise à jour est maintenant automatique.
GUM - Updates : Si une nouvelle catégorie était ajoutée à une source, l’activation de celle-ci dans une règle liée n’était pas automatique. Ce défaut de mise à jour à été corrigé.
Sigflow Manager : Si une règle était liée à une autre, la désactivation de celle-ci retournait une erreur 500. Il est désormais possible de désactiver des règles liées entre elles sans produire d’erreur.
L’installation du GCenter en version 2.5.3.100-hf3 ou la mise à jour d’une version 2.5.3.10 vers une version 2.5.3.100-hf3 ne permettait pas la reconstitution des flow_id ainsi que l’indexation des fichiers dédupliqués par le GCap. Ce problème est maintenant résolu. Il est par ailleurs recommandé d’effectuer une installation en version 2.5.3.100-hf4.
Amélioration de la gestion des events: Logstash et Filebeat ont été mis à jour en version 7.9 pour améliorer la gestion du traitement des messages ( Cf. release note Logstash et release note Filebeat )
L’orchestrateur interne du GCenter supervise désormais Logstash, permettant la gestion et la reprise sur erreur.
5.5. Package 5 (HF5 / SHA256 )¶
GUM - Hotfix : À partir du package 5, tout correctif appliqué est automatiquement supprimé de la liste dès qu’il est appliqué. En mode LPM, l’application d’un correctif est impossible.
Export Syslog : Le gestionnaire de pipeline rencontrait un problème de redémarrage suite à l’installation d’un GCenter en version 2.5.3.100-hf4, la reprise de celui-ci est désormais opérationnelle. Des champs étaient manquants sur les index « malware », ils ont été réappliqués. Un champ « uuid » a été ajouté à tous les événements remontés.
Ruleset - Threshold : L’édition d’un Threshold rule nécessitait une double génération pour pouvoir fonctionner correctement. Désormais le Threshold rule est mis à jour dès la première génération du ruleset.
GCenter - logs : L’export des journaux du GCenter supérieur à 10GO pouvait rencontrer un problème. Celui-ci a été corrigé.
CODEBREAKER - Alerts : La remontée des alertes powershell dans les tableaux KIBANA pouvait être interrompue à cause de valeurs non prises en charges. La prise en charge de ces valeurs a été ajoutée.
SYSLOG -IDMEF : Lors d’un export syslog au format idmef, les journaux Heartbeats étaient manquants. Les éléments sont désormais présents, il faut néanmoins réappliquer la configuration syslog pour que le correctif soit appliqué.
GSCAN - PowerShell : L’analyse via GSCAN des PowerShell retournait systématiquement un message d’erreur en version 2.5.3.100-hf4. Les analyses se déroulent désormais correctement.
GSCAN -LPM : Lorsque la fonctionnalité LPM est activée, GSCAN est désactivé automatiquement par le GCenter. L’activation du GSCAN n’est pas possible tant que cette fonctionnalité est active.
Alertes : Aucune remontée d’alertes shellcode ou malware dans les tableaux Gatewatcher en version 2.5.3.100-hf4. Le problème a été corrigé.
Sigflow - Custom Source : l’édition d’une source personnalisée retournait une erreur. Il est désormais possible d’éditer une custom source.
Malcore - Alertes : Une incohérence entre les champs « engine_id » et « total_found » était présente. Celle-ci a été rectifiée.
5.6. Package 6 (HF6 / SHA256 )¶
Important
Ce HF doit être appliqué comme une upgrade (ce qui implique un redémarrage).
Il est impossible d’appliquer ce correctif comme un hotfix, car il apporte -entre autre- un patch du kernel, qui ne peut pas être appliqué à chaud.
Important
Le HF6 ne peut être appliqué que sur un GCenter en v100 HF5. Les autres chemins d’upgrade ne sont pas supportés.
Avertissement
Après l’upgrade, le moteur malcore doit être mis à jour. Si vous êtes en mode online (voir Administrator > GUM > Config), cela peut prendre jusqu’à 15 minutes. En mode offline, vous devrez appliquer une mise à jour manuelle pour que malcore devienne fonctionnel.
Avertissement
Les fichiers à utiliser pour mettre à jour les moteurs sigflow et malcore ne sont plus les mêmes.
Le téléchargement manuel des mises à jour s’effectue depuis https://update.gatewatcher.com/update/2.5.3.100/gcenter/ :
latest_sigflow_v3.gwp correspond à la mise à jour des règles sigflow.
latest_malcore_v3.gwp correspond à la mise à jour du moteur malcore.
latest_full_v3.gwp correspond aux mises à jour de malcore et sigflow combinées.
Avertissement
Lors du passage en HF6, le bug profil malcore non préservé peut se produire. De plus, seuls 15 moteurs antiviraux seront disponibles
Kernel - Instabilité du module IPSEC : Le noyau linux possédait un module relatif à ipsec susceptible d’entraîner des erreurs kernel (kernel oops). Le problème a été corrigé. (cf. known bug )
Mise à jour Malcore : Malcore a été upgradé en version 4, permettant une meilleure stabilité et corrigeant de nombreux problèmes. (cf. accumulation de fichiers, association de fichiers, absence de flow_id )
Mapping des champs malcore : Le mapping des champs des logs produits par malcore est désormais identique à celui de la version 2.5.3.101 documenté ici : https://docs.gatewatcher.com/fr/gcenter/2.5.3/101/definition_des_alertes/definition_des_alertes.html#malcore
Amélioration de la stabilité du moteur GOASM : le moteur d’analyse des shellcode a été revu afin d’accroître sa stabilité.
Amélioration de la sécurité de l’interface web : des vulnérabilités de type CSRF ont été corrigées.
Mise à jour des composants internes : les composants internes du Gcenter comme le moteur du serveur web ont été mis à jour.
5.7. Package 7 (HF7 (mode upgrade) / SHA256 // HF7 (mode hotfix) / SHA256)¶
Le HF7 corrige une mise à jour de licence interne au produit GCENTER et doit être appliqué impérativement avant le 31/12/2021. Ce hotfix ne s’applique que sur un GCENTER en version 100-HF6 (en mode upgrade ou hotfix).