← Terug naar het overzicht

Verplichte update: McAfee ePolicy Orchestrator 5.10 update 10

McAfee ePolicy Orchestrator 5.10 update 10. In deze blog vertelt Gabi over de belangrijkste redenen om deze update zo snel mogelijk uit te voeren.

McAfee heeft op 15 maart 2021 nieuwe update van McAfee ePolicy Orchestrator 5.10, update 10, vrijgegeven. Deze door McAfee als verplicht geclassificeerde update brengt een aantal behoorlijk belangrijke veranderingen met zich mee. Naast een aantal belangrijke issue fixes zoals bijvoorbeeld een fix voor een Cross-Site-Scripting (XSS) exploit bevat deze update ook een flinke sprong naar een nieuwe versie van Tomcat, het brein van de ePO server applicatie. In deze blog vertelt onze McAfee specialist Gabi over de belangrijkste redenen om de verplichte update zo snel mogelijk uit te voeren.

Tomcat

De verandering die het meeste opvalt van alle fixes die de tiende update van ePO met zich meebrengt is de upgrade van de inmiddels bijna 8 jaar met ePO meegeleverde Tomcat 7. Al vanaf ePO 5.1.0, dat in 2013 gereleased is, wordt door ePO gebruik gemaakt van Tomcat 7. Hoewel inmiddels Tomcat 10 ook al beschikbaar is heeft McAfee ervoor gekozen om voor Tomcat 9 te gaan. Vermoedelijk is dit omdat een product als Tomcat extensief getest en onderzocht moet worden voordat het meegeleverd kan worden met een product als ePO, en Tomcat 10 op het moment van schrijven nauwelijks twee maanden oud is met een release datum van 2 februari 2021. Tomcat wordt door ePO gebruikt als webserver om Java Servlets uit te kunnen voeren. Java Servlets zijn kleine java code applicaties met ieder een eigen functie die samengevoegd één grote server vormen, en dat is precies waar de kern van ePO uit op is gebouwd.

De reden voor deze grote sprong van versie 7 naar versie 9 is met name te danken aan het feit dat voor versie 7 een end-of-life is afgekondigd per 31 maart 2021. Een end-of-life houdt in dat hoewel een versie van een product in veel gevallen technisch gezien nog gewoon te gebruiken blijft, de ondersteuning voor die versie zal komen te vervallen. In dit geval zou het dus inhouden dat wanneer de door ePO gebruikte Tomcat 7 problemen zou geven, McAfee niet meer bij de Apache Foundation aan de bel kan trekken voor hulp, en eindgebruikers op hun beurt dus ook niet meer bij McAfee. En dat is natuurlijk geen kwaliteit van service om aan klanten aan te kunnen bieden.

Product extension Compatibility List

Vanaf ePO 5.10 update 10 heeft McAfee een Product extension Compatibility List, of in het kort PCL, geïntroduceerd. Het doel van de PCL is om meer informatie te geven over welke versies van product extensions compatibel zijn met ePO 5.10 update 10. Hoewel de PCL niet zodanig een cruciale verandering is als de switch naar Tomcat 9, blijft het handig om voorafgaand aan het uitvoeren van een update van ePO te weten of alle extensies samen kunnen werken met de nieuwe versie en niet onbedoeld gedeeltelijke of in sommige gevallen de volledige functionaliteit breken.

Issue fixes

Zoals eerder vermeld komt met de tiende update ook een flink aantal issue fixes mee. Deze fixes varieëren van minor fixes tot een aantal belangrijkere reparaties. Onder de fixes zijn bijvoorbeeld een aantal performance optimalisaties en een aantal kleine bugfixes voor de grafische gebruikersinterface, maar bijvoorbeeld ook fixes die het uitbuiten van Cross-Site-Scripts en Cross-Site-Forgery-Requests tegengaan, of een probleem waar onbedoeld informatie wordt vrijgegeven door het Agent Handler component van ePO.

Wat nu?

Het belang van het uitvoeren van de update inmiddels wel duidelijk, maar ondanks het belang ervan komen daar best wat haken en ogen bij kijken die een potentieel risico kunnen vormen voor de functionaliteit van ePO. Het is helaas in het slechtste geval weleens voorgekomen dat de installatie van een update ervoor heeft gezorgd dat ePO daarna deels of zelfs helemaal niet meer werkte, en omdat er vooraf geen backups waren gemaakt van de databases of van de ePO server zelf moest er een volledig nieuwe ePO server geïnstalleerd en ingericht worden. Een proces waar flink wat tijd en moeite voor nodig is om de nieuwe server zodanig in te richten dat het weer functioneert als de oude server. Daarom volgt hieronder een plan voor de stappen die gezet kunnen worden om het risico te verkleinen rond het uitvoeren van de update.

Stap 1: Maak backups van de databases en een snapshot van de ePO server

Er blijft altijd een risico dat een update fout gaat bij gevoelige software als dit. Maak daarom een backup van de databases en indien mogelijk een snapshot van de ePO server, zodat in het geval dat er toch iets fout gaat altijd teruggedraaid kan worden naar de oude staat.

Om voor ePO een goede backup van de databases te maken is het nodig dat van zowel de algemene database als de events database een backup wordt gemaakt. De standaard naamgeving van de databases is voor de algemene database:

ePO_<ePO_server_naam>

en voor de events database:

ePO_<ePO_server_naam>_Events.

In de meeste gevallen is ePO geïnstalleerd op een virtuele machine. In dat geval is de makkelijkste optie om een snapshot van de ePO server te maken. Afhankelijk van welke VM host software gebruikt wordt zijn daar verschillende manieren voor om dit te doen.

Stap 2: Stop de ePO services

Hoewel de updater tool zelf probeert om de de ePO services te stoppen, kan het geen kwaad om zelf handmatig de services te stoppen. In sommige gevallen kan het voorkomen dat het de updater tool niet lukt om de services te stoppen, terwijl het een gebruiker met administrator rechten wel lukt in het services scherm. De namen van de services die door ePO gebruikt worden hebben de volgende namen: ePolicy Orchestrator Server Service, ePolicy Orchestrator Event Parser Service, en ePolicy Orchestrator Application Server Service.

Stap 3: Voer de stappen van de updater tool uit

Voer nadat de mogelijkheid om terug naar de vorige staat te kunnen is gecreëerd kan de update van ePO worden uitgevoerd. Na het starten van de updater tool wordt eerst gevraagd om de gegevens in te vullen die de ePO server gebruikt om met de database server te verbinden. Vul hier de database naam, database server naam, server poort, gebruikersnaam, en het wachtwoord in. Daarna zal de tool proberen om de services te stoppen, maar wanneer dit vooraf gedaan is kan het update proces direct gestart worden. Als de update is afgerond zal de tool zelf automatisch de services weer starten.

Stap 4: Configureer Host Based Firewall (indien aanwezig)

Indien er gebruikt gemaakt wordt van een host based firewall waarbij regels op basis van executables gemaakt kunnen worden, zoals de windows firewall, dient in de firewall regel de executable handmatig omgezet te worden van tomcat7.exe naar tomcat9.exe.

Stap 5: Verifiëer de ePO installatie

Wanneer de update is afgerond en de services weer zijn gestart, probeer dan in te loggen in ePO om te controleren of dit nog werkt. Hierna kan worden gecontroleerd of de nieuwe versie is toegepast door naar Menu -> Server Settings -> Server Information te gaan en in het Update Installed veld het versie nummer te verifiëren.

Meer gedetailleerde informatie over ePO 5.10 update 10 is te vinden op de McAfee website.

Hulp nodig?

Heb je geen tijd voor het doorvoeren van deze update? Of zou je dit graag samen met ons willen doen? Wij helpen je graag met een probleemloze update!

Neem hiervoor contact op met je accountmanager of sales@mydigitals.nl

Aan de informatie op onze website kunnen geen rechten worden ontleend. Ga voor meer informatie naar mydigitals.nl/disclaimer

Meer weten?

Joost van Wijk helpt je graag verder. Je kunt hem bereiken op: joost+website@mydigitals.nl

Contact

Neem contact met ons op. We helpen je graag verder!

Contact
Volgend artikel

McAfee ePO Product upgrade guide: deel 2