7. Hotfix

7.1. Package 1

Package 1 - en mode hotfix (HF1 / SHA256)

Package 1 - en mode mise à jour/installation (HF1 / SHA256)

Le hotfix n°1 s'applique sur les versions suivantes :

• version 2.5.3.101-HF4

• version 2.5.3.102

Pour mettre à jour un GCenter v2.5.3.101-HF4, appliquer le Package 1 - Mise à jour/Installation via le menu `GUM > Upgrade`.

Pour mettre à jour un GCenter v2.5.3.102, appliquer le Package 1 - Hotfix via le menu `GUM > Software Update`.

Le hotfix n°1 corrige les problèmes suivants :

• Migration - Configuration LDAP faite en v.2.5.3.100 et jamais modifiée depuis génère une erreur

• Limitation du stockage des données indexées dans ElasticSearch

• Crash d'un composant lors de la réception d'un evelog vide

• ActiveHunt - Problème de duplication de SID

• LDAP - Problème dans l'activation du module LDAP

• Sauvegarde/Restauration GCenter - Problèmes sur les tableaux de bords NDR

• Sauvegarde/Restauration GCenter - configuration réseau

• Sauvegarde/Restauration GCenter - numéro de version

• NDR - Suppression des données

• WebUI - Problème d'accès lors de la modification de la MTU

• Migration - Problème avec les compteurs des fichiers en attente

• Migration - Problème dans l'analyse des payloads de Codebreaker

• Migration - Problème avec l'export Syslog en TLS

• Migration - Problème de communication entre certains composants

• WebUI - Problème lors d'une recherche sur une période de temps

• WebUI - Problème de changement de mot de passe et d'édition de profil

• WebUI - Problème d'affichage lorsque certains protocoles sont activés

• Kibana - Problème avec les raccourcis générés via l'interface NDR

---

7.1.1. Procédure de migration du support de stockage

Le hotfix n°1 a ajouté une commande supplémentaire dans le menu de configuration : `Elasticsearch storage mode`.

Cette commande déplace les index ES :

• le déplacement peut être fait depuis les disques HDD vers les disques SSD

• le déplacement peut être fait depuis les disques SSD vers les disques HDD

Dans le cadre de l'installation du HF1, les index ES ont été migrés vers le stockage le plus performant du GCenter (les SSD) ce qui limite le volume disponible pour la conservation des ces données.

Si la taille réservée aux index ES est devenue trop basse, il est possible de transférer les index ES vers les disques HDD (espace disque sera plus grand mais le temps d'accès plus long).

Pour effectuer ce transfert depuis les disques SSD vers les disques HDD, effectuer les procédures suivantes :

---

7.1.1.1. Procédure de vérification

• Accéder au menu de configuration en SSH avec le compte setup.
• Utiliser la commande `Elasticsearch storage mode`.

  Dans la fenêtre `Elastic storage mode`, la ligne `Current storage type :` indique la configuration courante.

  • si le paramètre est `slow`, cela signifie que les index ES sont déjà localisés sur les disques HDD
  • si le paramètre est `fast`, cela signifie que les index ES sont localisés sur les disques SSD: effectuer la procédure suivante

• Dans la fenêtre `Elastic storage mode`, les informations suivantes sont affichées (les valeurs données ici sont un exemple):

  Current storage type : fast
  Maximum size on fast storage for elasticsearch : 411G
  Maximum size on slow storage for elasticsearch : 1.8T
  Current space used by elasticsearch : 273G
  

• Dans cet exemple :

  • les index ES sont localisés sur les disques SSD

  • la taille courante est de 273G

  • la taille maximum est de 411G sur les disques SSD

  • la taille maximum sera de 1.8T sur les disques HDD si les index ES sont transférés

---

7.1.1.2. Procédure de transfert

• Dans la fenêtre `Elastic storage mode`, cliquer sur le bouton `Switch storage type`.

  La fenêtre suivante donne des informations sur :

  • la préservation des données

  • la durée de l'opération

  • la taille maximum disponible sur les disques HDD

  • la taille choisie de l'espace réservé aux index ES après transfert : cette valeur pourra être modifiée via la WEB UI

  • la taille courante des index ES

• Cliquer sur le bouton `Switch storage type and launch data migration`.

  La fenêtre suivante donne des informations sur :

  • la préparation de la configuration : quand le paramètre est `Done` alors le transfert commence

  • la progression du transfert : valeur transférée / valeur totale

  • la reconfiguration du mode de stockage

• Attendre que la progression affiche les mêmes valeurs et cliquer sur le bouton `Refresh`.

  La procédure est terminée.

  On revient sur la fenêtre initiale mais la ligne `Current storage type` est maintenant à `slow`.

---

7.2. Package 2

Important

Le hotfix n°2 a été abandonné suite à un problème qui intervient sur des installations qui ont suivi des mises à jour successives depuis la v2.5.3.10.

Si vous avez déjà déployé ce package, il est nécessaire de déployer le hotfix n°3.

Si vous n'avez pas encore déployé ce package, veuillez installer directement le hotfix n°3.

---

7.3. Package 3

Package 3 - en mode hotfix (HF3 / SHA256)

Package 3 - en mode mise à jour/installation (HF3 / SHA256)

Le hotfix n°3 s'applique sur les versions suivantes :

• version 2.5.3.101-HF4

• version 2.5.3.102-HF1

• version 2.5.3.102-HF2

Pour mettre à jour un GCenter v2.5.3.101-HF4, appliquer le Package 3 - Mise à jour/Installation via le menu `GUM > Upgrade`.

Pour mettre à jour un GCenter v2.5.3.102-HF1, appliquer le Package 3 - Hotfix via le menu `GUM > Software Update`.

Pour mettre à jour un GCenter v2.5.3.102-HF2, appliquer le Package 3 - Hotfix via le menu `GUM > Software Update`.

Important

Le hotfix n°3 introduit une fonctionnalité supplémentaire pour la mise à jour dynamique des moteurs anti-malware disponibles au niveau de Malcore.

Cette fonctionnalité nécessite le téléchargement d'un nouveau package présent sur le site de mise à jour https://update.gatewatcher.com :

• disponible à l'adresse suivante: https://update.gatewatcher.com/update/2.5.3.102/gcenter/malcore_utilities.gwp et

• son SHA256: https://update.gatewatcher.com/update/2.5.3.102/gcenter/malcore_utilities.sha256.

Pour les clients utilisant un dépôt local, ne pas oublier de télécharger ce fichier et de le mettre à disposition sur ce dépôt.

Le hotfix n°3 corrige les problèmes suivants :

• Sigflow Manager - Problème lors de l'import de règles avec un SID existant

• Réseau - Problème lors de la configuration de deux interfaces dans le même sous-réseau

• Gestion des fichiers - Amélioration de la gestion des fichiers tronqués

• LDAP - Problème lorsque lors d'une erreur de saisie dans la configuration

• Backup/Restore - Problème d'authentification suite à la restauration d'une sauvegarde

• Appairage GCap - Problème de génération d'OTP

• Règles Yara - Problème dans le déclenchement de règles Yara

• GCaps profiles - Problème lors de la configuration avancées des base variable

• GCTI - Génération de règles DNS dont la plage de détection est trop large

• WebUI - Erreur lors de l'utilisation du navigateur Chrome V113+

• Migration - Valeur par défaut erronée

• Migration - Fiabilisation de la migration

• GPS - Amélioration du module d'analyse de PowerShell

• Migration - Erreur lors de la saisie d'une valeur erronée dans la configuration Netdata

• GCaps profiles - Erreurs lors de la configuration des Net variables

• Malcore - Erreur dans l'event type de l'évènement "File is lost"

• Emergency Mode - Problème dans l'exécution du service

• Backup/Restore - Problème avec Sigflow Manager lors de la restauration de certaines catégories

• Main menu du compte setup - Problème d'affichage

• Backup/Restore - Les comptes locaux ne sont pas correctement restaurés

• WebUI - Problèmes avec l'affichage des adresses IP de la colonne hostname des tableaux de bord NDR

• Eve logs - Problème avec le composant qui réceptionne les eve logs

• Migration - Erreur lors de l'utilisation de IDMEF dans l'export syslog

• Mise à jour - Erreur lors de mises à jour successives depuis la v2.5.3.10

---