Airlock 4.2.4 Update
mögliche Probleme
- x-frame Header Konfiguration (siehe Airlock x-frame-options Konfiguration)
- Apache logging ist nach dem Update auf 4.2.4 deaktivert (CHG: AP-6245 )
- Apache logging httpd.conf wieder auf default (siehe combined logging Konfiguration)
- Expert Settings
- Neue LoadBalancer Gruppen (ggf. fehlender Backend-Hosts)
- CHG: AP-8629 Reduced default back-end connect time-out to 2 sec (was 10 sec)
- CHG: AP-9229 Improved default SQL-injection regex for better detection of token camouflage with comment or EOS
- CHG: AP-2047 Changed BackendForceNewConnection default value to TRUE (CASE-6454, CASE-8338, CASE-19409, CASE-19499)
- NEW: AP-9162 Added default deny rule against HTTP parameter pollution
Vorbereitung
- Backup der Config
- Backup der ErrorSites
- Backup der Expert-Settings (sind zwar in der Gesamtconfig enthalten, jedoch als nur Text ist die Überprüfung einfacher)
- Backup der httpd.conf (zwecks httpd Anpassungen wie z.B. combined-logging
- back-end connect time-out ermitteln
Backup Backend Check Script
Durchführung
- Update File via Web-Interface auf System laden (Browser IE!)
- per ssh menu / besser Remote-Konsole (!) (user:menu) Update durchführen
- ggf. HF Patches installieren (siehe Vorgehen zuvor)
- Überprüfung der Config:
- Backend-Groups
- Namen
- Hosts, nicht in einem Mapping verwendete werden entfernt!
- Backend Checks Link
- Backend connect-timeout
- Expert Settings
- AuthproxyFilterDenyHeaderRegex
- IdleChildTimeout
- BackendForceNewConnection
- Mapping.<MAPPING>.InsertResponseHeaders.0 "X-Frame-Options: "
- Backend-Groups
- ggf. aktivieren httpd Apache logging (siehe Airlock httpd Apache logging aktivieren) wenn keine Auswertung im Backend durch x-forwarded-for Header (siehe Link)
- Combined logging für httpd Apache konfigurieren
- ggf. Events anpassen (siehe Link)
- WR_SG_SUMMARY_404
- WR_SG_BLOCK_invalid
- prüfen Default "non-printable character" Deny Rule (! known-issue !)