Attention : le support de WAPT 1.8.2 a pris fin le 30 juin 2022.

Il y a plusieurs vulnérabilité présente dans la branche WAPT 1.8.2.7393. Merci de mettre à jour sur la version supportée la plus récente. Liste des CVEs (non exhaustive) :
  • * python engine : python 2.7 (CVE-2020-10735, CVE-2015-20107, CVE-2022-0391, CVE-2021-23336, CVE-2021-3177, CVE-2020-27619, CVE-2020-26116, CVE-2019-20907, CVE-2020-8492, etc.)
  • * cryptography : openssl : CVE-2022-2068, CVE-2022-1292, CVE-2022-0778, CVE-2021-4160, CVE-2021-3712, CVE-2021-23841, CVE-2021-23840, CVE-2021-23839, CVE-2020-1971, CVE-2020-1968, CVE-2019-1551
  • * python dependencies : cryptography (CVE-2020-36242, CVE-2020-25659), eventlet (CVE-2021-21419), jinja2 (CVE-2020-28493), psutil (CVE-2019-18874), waitress (CVE-2022-31015), lxml (CVE-2021-4381, CVE-2021-28957, CVE-2020-27783, CVE-2018-19787), ujson (CVE-2022-31117, CVE-2022-31116, CVE-2021-45958), python-ldap (CVE-2021-46823)

Erreurs courantes

Utiliser un lecteur réseau pour stocker et livrer des paquets WAPT

Le mode de fonctionnement standard de WAPT est avec un serveur Web sécurisé qui fournit les paquets WAPT aux clients WAPT.

Tranquil IT déconseille l’utilisation d’un lecteur réseau pour la livraison de paquets WAPT pour plusieurs raisons :

  • un serveur web est extrêmement facile à installer, à sécuriser, à maintenir, à sauvegarder et à surveiller ;

  • pour fonctionner correctement, un paquet WAPT doit être autonome. En effet, nous ne savons pas si le réseau sera disponible au moment du lancement de l’installation (par exemple si nous avons un waptexit qui démarre lorsque la station de travail s’arrête sur un réseau avec une authentification utilisateur 802.1x, il n’y aura plus de réseau disponible au moment de l’installation). La nature autonome du WAPT le rend plus déterministe que les autres solutions de déploiement ;

  • une congestion du réseau peut résulter du téléchargement de gros paquets sur de grandes flottes d’appareils parce que vous avez moins de contrôle sur la consommation de bande passante ou bien vous ne pouvez pas terminer un téléchargement partiel ;

  • cette méthode casse ou au moins affaiblit le cadre de sécurité du WAPT ;

  • cette méthode ne vous permet pas d’exposer vos dépôts sur Internet pour votre personnel itinérant ;

Attention

Même si WAPT peut fonctionner indépendamment du mode de transport, Tranquil IT ne supportera pas officiellement l’utilisation d’un lecteur réseau pour stocker et livrer des paquets WAPT.

Utiliser la fonction register() dans vos scripts d’audit

La fonction register() force l’envoi au serveur WAPT de l’inventaire matériel et logiciel de l’agent WAPT.

Cette fonction est très éprouvante pour les performances du serveur car elle oblige le serveur à analyser un JSON BLOB relativement grand et à injecter le résultat dans la base de données PostgreSQL.

La fonction est par défaut déclenchée manuellement ou lorsqu’une nouvelle mise à niveau de paquet est appliquée.

Lorsque vous utilisez la fonction register() dans un script d’audit, elle sera exécutée à chaque fois que le script d’audit est déclenché et chargera le serveur sans bénéfice apparent.

Par conséquent, nous ne recommandons pas l’utilisation de la fonction register() dans les scripts d’audit.