OpenEdge 12.8.11+ и поддержка алгоритма кодирования OECH1

В версиях системы OpenEdge 12.8.11+ и 12.2.19+ были внесены критические изменения в систему безопасности, которые навсегда прекращают поддержку алгоритма кодирования OECH1. Эти изменения необходимы для устранения известной уязвимости.

После установки обновления любое использование закодированных значений с помощью алгоритма OECH1 будет вызывать ошибки выполнения и может привести к сбоям в работе компонентов OpenEdge. Компания Progress настоятельно рекомендует разработать и протестировать план миграции до установки обновления в производственной среде, чтобы минимизировать риски прерывания сервисов. Перед установкой обновления необходимо выполнить полное резервное копирование системы для устранения возможных ошибок при миграции, которые могут потребовать повторной установки обновления.

Для обеспечения возможности внесения изменений после установки обновления в установках продуктов OpenEdge была реализована опция OECH1-grandfather. В случае отказа от использования алгоритма OECH1 в среде разработки, эта опция позволяет продолжать запуск приложений до тех пор, пока не будут перенесены все значения, закодированные с помощью OECH1. Опция OECH1-grandfather временно разрешает декодирование существующих значений, закодированных с помощью OECH1, что обеспечивает возможность поэтапной миграции без возникновения ошибок выполнения.

При использовании режима OECH1-grandfather разработчик может проверить корректность работы своего продукта при переходе с кодировки OECH1 на другой алгоритм. В этом режиме можно декодировать существующие значения OECH1, но новые значения сгенерировать невозможно. Все случаи использования декодирования записываются в лог-файл компонента среды выполнения.

После завершения процесса переноса существующих значений режим OECH1-grandfather следует отключить для проведения полноценного тестирования в рабочем режиме. Не рекомендуется использовать режим OECH1-grandfather в производственной системе.

Важные ограничения:

• Контроль над параметром OECH1-grandfather осуществляется исключительно администраторами установки OpenEdge.
• Существующие закодированные значения OECH1 могут быть декодированы и использованы средой выполнения OpenEdge.
• Ни один продукт OpenEdge не может генерировать новые закодированные значения с использованием алгоритма OECH1.
• Настоятельно не рекомендуется использовать параметр OECH1-grandfather в производственной среде.

Опция OECH1-grandfather контролируется на уровне установки продукта OpenEdge для предотвращения некорректных настроек, которые могут затруднить миграцию продукта. Управление установкой осуществляется с помощью исполняемого файла командной строки:

<DLC>/install/tlr/oech1tlr[.bat]

Исполняемый файл oech1tlr CLI принимает один аргумент, определяющий выполняемую операцию:

• status: вывод текущего состояния разрешения или запрета на использование параметра.
• deny: запрет на использование алгоритма OECH1 в продуктах OpenEdge (по умолчанию).
• grant: временное разрешение на декодирование OECH1 в продуктах OpenEdge.

При использовании параметра OECH1-grandfather все закодированные значения OECH1 будут регистрироваться для облегчения идентификации при переносе данных.

После завершения процесса миграции продукта и его подготовки к развёртыванию в производственной среде компания OpenEdge рекомендует удалить исполняемый файл интерфейса командной строки перед переходом в производственную среду.

Примечание: Используйте данную опцию на свой страх и риск. Нет гарантии, что эта опция миграции будет сохранена в будущих версиях системы.