6.8.6
Sécurité
- Squid a été patché pour combler cinq nouvelles failles remontées par le CERT-FR (CERTFR-2023-AVIS-0993 et CERTFR-2023-AVIS-1030) et permettant pour diverses raisons de
provoquer des dénis de service.
Ce patch corrige les CVE suivantes :
- CVE-2023-50269
- CVE-2023-49286
- CVE-2023-49285
- CVE-2023-46724
plus de détails sur les failles ici, là, là, là et là.
6.8.5
Sécurité
- Squid a été patché pour combler la faille remontée par le CERT-FR et permettant l'exploitation d'une vulnérabilité au HTTP
Smuggling lors du traitement de certaines requêtes/réponses en HTTP1.1 utilisant du
chunking (plus de détails ici.
A noter qu'On premises n'est par ailleurs
exposé, parmi les failles exposées par cette alerte du CERT-FR, qu'à celle concernant la
gestion du cache dans certains cas spécifiques.
Nous
travaillons à une prise en charge complète de cette faille, en attendant, par mesure de
précaution, nous vous suggérons de désactiver le cache du proxy dans votre Olfeo On
premises
Emission des licences
- Les licences sont désormais éditées de façon incrémentale. Ainsi un prologement de
licence en cas de renouvellement donne dorénavant lieu à l'émission d'une "nouvelle"
licence et non plus à la simple modification de la date de fin.
Olfeo On premises v6
n'affichant que la licence en cours, si vous avez déjà procédé au renouvellement
et que vous avez reçu votre bon de livraison, il est donc normal que cette nouvelle
licence ne s'affiche pas. Cependant, aucun souci à avoir : votre nouvelle licence sera
automatiquement mise à jour à son début de validité.
6.8.3
Sécurité
- Des configurations obsolètes de libssl sont supprimées pour éviter tout effet de
bord
- Une faille de sécurité est comblée sur l'usage de certaines URL
6.8.2
Securité
- La synchronisation des bases de données Olfeo utilise dorénavant systématiquement
HTTPS
6.8.1
Sécurité
- ClamAV est mis à jour en version 0.103.8
- Les scripts de proxy sont dorénavant servis sur HTTPS par défaut si un certificat TLS
couvrant les domaines servant les certificats est ajouté -voir le Guide Utilisateur pour
plus de détails.
Diffusions
- L'affichage du nom des diffusions est fiabilisé et n'affiche plus 'Nouvelle analyse" à
tort dans certains contextes.
Domaine : réplication postgré
- La réplication de la base PostgreSQL est fiabilisée et ne génère plus de
timeouts.
Chartes informatiques
- A l'affichage de la prévisualisation du rendu d'une charte, en cas d'usage d'un
fichier local, le lien qui sera présenté à l'utilisateur est affiché avec le bon rendu
mais n'est plus cliquable pour éviter les erreurs. (le fichier est bien évidemment servi
à l'utilisateur en production une fois la charte activée).
6.8.0
Moteur de règles d'accès
- Le moteur de règles d'accès propose une nouvelle action "Appliquer la politique" qui
permet d'appliquer directement une politique de filtrage sans passer par le moteur de
politiques utilisateur. Il est ainsi possible d'appliquer une politique à une
destination donnée (une plage d'IP par ex.) tout en conservant l'identification des
utilisateurs authentifiés.
Remarque : Dans ce cas, aucun héritage de politiques n'est possible.
Sécurisation de l'héritage de politiques
Politiques de filtrage
Lancement d'une mise à jour
- Une demande de confirmation est à présent demandée lorsqu'on clique sur le bouton
"Mettre à jour"