最近更新时间:2022-08-04
服务升级配置指导主要包含如下内容:
本次版本升级主要修复Nginx、Log4j2(包括CVE-2021-44228)、Log4j JNDI RCE、Tomcat(CVE-2021-42340)、JavaScript、应用程序错误消息、Microsoft SQL Server Authentication Function Remote Overflow、CGI Generic SQL Injection、pkexec程序存在权限提升漏洞(CVE-2021-4034)。
说明:
版本升级前,请确保如下准备工作已完成。
通过Web界面登录堡垒机,单击“admin > 系统 > 系统状态”,查看并确认系统运行状态正常。
选择“系统 > 授权管理”,确认堡垒机授权状态正常。
选择“系统 > 基础设置 > 配置备份”,单击“下载配置”,将配置备份到本地。当版本升级失败时,可以使用备份的配置进行配置恢复。
(可选)当需要审计记录备份时,需要先配置文件服务器,然后将审计记录备份至文件服务器,文件服务器支持TFTP和FTP,请参考如下步骤进行操作。(如需恢复配置,请联系服务经理后台进行恢复)
选择“系统 > 基础设置 > 文件服务”,配置文件服务器,点击“测试”,界面提示测试成功即可。
选择“系统设置 > 定期任务 > 审计数据备份”,选择待备份数据的起始时间,以及备份服务器。
选择“系统 > 基本设置 > 端口配置”,确认当前Web服务的登录端口是否为443端口,如果不是443端口,可以先将“Web服务”端口修改为443端口,升级成功后再改为当前端口。且堡垒机实例所在的安全组需放通443端口。
选择“基础设置 > 网络设置”进行备份,包括IP地址、子网掩码、路由信息等,请记录此步骤的配置信息,以供后续步骤使用
选择“帮助 > 关于 > 软件信息”,查看并确认当前版本信息为6112P12。
请参考如下表格,从对应路径中下载升级安装包并解压到本地备用。访问页面时需要使用有权限的账号登录(例如合作伙伴账号),如果不能正常下载,请咨询对应的服务经理。
升级安装包名称 | 下载地址 |
SecPath2000AV-IMW310-E6112P13_BIN.rar | https://download.h3c.com/app/cn/download.do?id=5685752 |
SecPath2000AV-IMW310-E6112P14_BIN.rar | https://download.h3c.com/app/cn/download.do?id=5760257 |
SecPath2000AV-IMW310-E6112P15_BIN.rar | https://download.h3c.com/app/cn/download.do?id=5805024 |
SecPath2000AV-IMW310-E6112P16_BIN.rar | https://download.h3c.com/app/cn/download.do?id=5879639 |
SecPath2000AV-IMW310-E6112P17_BIN.rar | https://download.h3c.com/app/cn/download.do?id=6103116 |
SecPath2000AV-IMW310-E6112P18_BIN.rar | https://download.h3c.com/app/cn/download.do?id=6204878 |
SecPath2000AV-IMW310-E6112P19_BIN.rar | https://download.h3c.com/app/cn/download.do?id=6296834 |
SecPath2000AV-IMW310-E6112P20_BIN.rar | https://download.h3c.com/app/cn/download.do?id=6381328 |
SecPath2000AV-IMW310-R6113_BIN.rar | https://download.h3c.com/app/cn/download.do?id=6712103 |
SecPath2000AV-IMW310-R6113P01_BIN.zip | https://download.h3c.com/app/cn/download.do?id=7026876 |
升级过程存在版本依赖,请根据如下升级顺序依次进行升级,禁止跨版本升级。
使用超级管理员账号登录堡垒机Web页面,选择“系统设置 > 系统 > 补丁管理”,单击“安装补丁”。
选择“上传补丁”,上传SecPath2000AV-IMW310-xxxx.bin补丁包,完成后单击“确定”。
说明:
补丁包上传过程中,界面中会提示“正在加载”,请耐心等待。补丁包加载完成后,界面将显示版本信息。
单击“安装”,在弹出的“确认安装吗?”提示框中,单击“确定”。当出现“正在升级”提示时,即开始升级版本。
升级成功后,单击“重新登录”,进入堡垒机Web登录界面。
说明:
当安装了应用发布服务器时,请进行应用发布服务器Winsoft组件的升级。
1. 升级注意事项
Winsoft组件升级注意事项如下。
如果一次升级多个堡垒机版本,可以在将堡垒机升级到最终的版本之后,再一次性完成Winsoft组件的升级。
升级完成后,需要将应用发布服务器中的谷歌和火狐浏览器升级到配套的版本(谷歌浏览器为Chrome 90、火狐浏览器为Firefox 88)。
检查应用发布服务器中是否安装了杀毒软件,如果已安装,升级前请将其卸载。
如果升级失败,请联系技术支持工程师进行处理。
2. 升级步骤
使用超级管理员帐号登录堡垒机Web界面。
选择“系统> 资产 > 远程客户端 > 应用发布服务器”。
当系统检查到Winlogon的版本不是最新版本,页面将显示“升级”和“批量升级”按钮。单击“升级”/“批量升级”,可以实现Winlogon的自动升级。
在“系统 > 系统 > 远程客户端 > 应用发布服务器”中,查看WinSync和Gsessiond状态,如升级成功,状态应为“正常”,且不再显示“升级”按钮。
升级完成后,建议重启应用发布服务器。
使用超级管理员登录堡垒机Web界面,依次选择“系统设置 > 系统> 补丁管理”,进入补丁管理界面,查看该补丁的安装结果。
单击右上角的账号名称,在“帮助 > 关于 > 软件信息”中查看软件版本,若其已变为E6112P13,且webapp和common的版本号均为3.3.8-107.h3c,说明已升级成功。
版本和webapp及common的对应关系表。
版本 | webapp | common |
E6112P13 | 3.3.8-107.h3c | 3.3.8-107.h3c |
E6112P14 | 3.3.8-108.h3c | 3.3.8-108.h3c |
E6112P15 | 3.3.8-109.h3c | 3.3.8-109.h3c |
E6112P16 | 3.3.8-110.h3c | 3.3.8-110.h3c |
E6112P17 | 3.3.8-112.h3c | 3.3.8-111.h3c |
E6112P18 | 3.3.8-113.h3c | 3.3.8-113.h3c |
E6112P19 | 3.3.8-114.h3c | 3.3.8-114.h3c |
E6112P20 | 3.3.8-114.h3c | 3.3.8-115.h3c |
R6113 | 3.3.8-116.h3c | 3.3.8-116.h3c |
R6113P01 | 3.3.8-117.h3c | 3.3.8-117.h3c |
本次升级暂不支持回退,如果升级失败,请联系紫光云处理。
升级后不支持版本回退。
版本升级存在依赖关系。
升级前建议做好配置备份,升级时请耐心等待,升级过程禁止断电,重启操作。
升级到R6113P01版本后,对应应用发布服务器的Winsoft也需要同步升级,请参考4.2应用发布服务器Winsoft组件升级(如未使用应用发布服务器,忽略此步骤),且谷歌和火狐浏览器的支持新版本浏览器后,不再兼容老版本的浏览器,请同步升级应用发布服务器上的浏览器版本为Chrome 90,Firefox 88。
