6.7.7
Sécurité
- Squid a été patché pour combler la faille remontée par le CERT-FR et permettant l'exploitation d'une vulnérabilité au HTTP
Smuggling lors du traitement de certaines requêtes/réponses en HTTP1.1 utilisant du
chunking (plus de détails ici.
A noter qu'On premises n'est par ailleurs
exposé, parmi les failles exposées par cette alerte du CERT-FR, qu'à celle concernant la
gestion du cache dans certains cas spécifiques.
Nous
travaillons à une prise en charge complète de cette faille, en attendant, par mesure de
précaution, nous vous suggérons de désactiver le cache du proxy dans votre Olfeo On
premises
Chartes informatiques
- A l'affichage de la prévisualisation du rendu d'une charte, en cas d'usage d'un fichier
local, le lien qui sera présenté à l'utilisateur est affiché avec le bon rendu mais n'est
plus cliquable pour éviter les erreurs. (le fichier est bien évidemment servi à
l'utilisateur en production une fois la charte activée).
Pages de sensibilisation
- Le serveur de pages de sensibilisation a été optimisé pour éviter certains cas où la
consommation de ressources pouvait poser problème.
Emission des licences
- Les licences sont désormais éditées de façon incrémentale. Ainsi un prologement de
licence en cas de renouvellement donne dorénavant lieu à l'émission d'une "nouvelle"
licence et non plus à la simple modification de la date de fin.
Olfeo On premises v6
n'affichant que la licence en cours, si vous avez déjà procédé au
renouvellement et que vous avez reçu votre bon de livraison, il est donc normal que
cette nouvelle licence ne s'affiche pas. Cependant, aucun souci à avoir : votre
nouvelle licence sera automatiquement mise à jour à son début de validité.
6.7.6
Déchiffrement TLS : gestion des certificats
- Le certificat d'autorité racine de DigiCert a été mis à jour.
Mises à jour de sécurité :
- Le certificat TLS de la webadmin a été mis à jour
- ClamAV est mis à jour en 0.103.8 pour combler une faille de sécurité (CERTFR-2023-AVI-0140/)
Extraction de hits :
- L'extraction de hits ne provoque plus d'erreur si certains caractères spéciaux sont
saisis dans les champs du formulaire (notamment user-agent).
Synchronisation d'annuaires :
- Le paramétrage de la synchronisation d'annuaire supporte mieux la syntaxe CRON et ne
fait plus planter la webadmin en cas de saisies incorrectes.
Gestion d'administrateurs:
- La présence d'administrateurs sans droits ne provoque plus de plantages des
esclaves.
Gestion des jeux de messages
- Lors d'une tentative de suppression d'un jeu de messages déjà affecté à un groupe
d'utilisateurs, la suppression ne se fait pas et un message explicite affiche les
groupes concernés.
6.7.5
Déchiffrement TLS : gestion des certificats
- Les certificats d'autorité racine ont été mis à jour.
6.7.4
Gestion des administrateurs
- OL-246 : Suite à la suppression d'un administrateur-enfant, les diffusions qu'il avait
créé sont rattaché à l'administrateur-parent (à défaut à l'administrateur général).
Supervision
- OL-1507 : Suite à l'activation de SNMP v3, la page Paramétrage > Etat est
accessible.
Paramétrage SMTP
- OL-1518 : L'utilisation d'un FQDN pour désigner le seveur SMTP à utiliser pour l'envoi
des notifications est à nouveau possible.
Userbase
- Dans certains cas, la présence de plages IP dans les utilisateurs ne provoque plus de
fuites mémoire suite à une montée de version.
6.7.3
Amélioration de la gestion des listes de catégories, de domaines et d'URL
(OL-1321)
- Une liste vide ne peut plus être ajoutée à une règle de déchiffrement ou de filtrage
et provoquer de crash du filtrage.
- De même, une liste utilisée dans une règle ne peut plus êre vidée tant qu'elle est
utilisée et donc provoquer de crash du filtrage.
Campus : la gestion de la synchronisation est déplacée de la section "Administration"
vers la section "Campus"
- La gestion de la synchronisation automatique de l'annuaire est activable ou
desactivable depuis l'interface ; le cas échéant, la date de dernière synchronisation
est affichée.
- La synchronisation "à la demande" est possible depuis l'interface pour ne pas avoir à
attendre la prochaine synchronisation automatique.
- ... et vous retrouvez bien sur toujours l'accès à l'interface de Campus sur notre
plateforme dans le nuage.
Montée de version d'un cluster :
- OL-1490 : le filtrage des esclaves ne crashe plus suite à la mauvaise propagation des
données de userbase.
Studio :
- OL-1468 : Le changement de port des pages de blocage est désormais bien pris en
compte.
Synchronisation d'annuaires :
- OL-1376 : la synchronisation d'annuaires n'est plus bloquée si un groupe utilisé par
une règle d'accès est supprimé.
- OL-1489 : l'activation de webdav supporte à présent la méthode REPORT.
6.7.2
Montée de version d'un cluster depuis une 6.5
- OL-1388 : la migration en esclaves d'anciens maîtres de secours est fiabilisée.
Déchiffrement TLS/SSL
- OL-1382 : l'usage d'un certificat au format Windows ne provoque plus de redémarrage
intempestif du proxy.
Performances
- Les performances des esclaves sont améliorées dans les situations de fortes charges
(performances de userbase).
Authentification sur le portail public
- OL-1463 : dans certains cas spécifiques (connexion sur un esclave en mode passerelle),
l'utilisateur peut à nouveau s'authentifier sur le portail public sans être constamment
redirigé vers l'authentification.
6.7.1
Déchiffrement TLS/SSL :
- OL-1326 : La gestion des certificats intermédiaires ne génère plus d'erreurs dans
certains cas spécifiques.
- OL-1329 : Certains certificats racines étaient expirés et ont été mis à jour.
Mises à jour de sécurité
- OL-1323 et OL-1314 : ClamAV est mis à jour vers la version 0.103.5
- OL-1324 : Le serveur web (Nginx) est mis à jour vers la version 1.18.0-6.1
- OL-1125 : Les communications internes en SSL à l'Olfeo sont durcies pour améliorer la
sécurité globale du produit.
- OL-1126 et OL-1127 : Certains attributs de sécurité manquaient aux cookies et
rendaient plus vulnérables les échanges dans certains cas très spécifiques.
Exploitabilité
- OL-1337 : La suppression des fichiers temporaires est dorénavant mieux bornée (50Mo,
moins de 7 jours) et est plus fiable.
Filtering
- OL-1337 : Les performances sont fortement améliorées dans le cas où on utilise des
plages d'IP dans le moteur de filtrage avec un grand volume d'utilisateurs.
Pages de sensibilisation
- OL-1152 : Les pages de sensibilisation ne retournent plus d'erreur 500 dans certains
cas spécifiques.
Journaux de navigation
- OL-654 : Un message d'avertissement est désormais affiché lorsqu'on souhaite extraire
des journaux depuis le stockage à froid (antérieur à J-3).
Campus
- OL-1360 : Pour les clients Campus, l'accès se fait dorénavant sur la nouvelle URL
d'accès à Campus (saas.trustlane.io).