Passer au contenu principal
Accueil - Assistance OCLC

Notes d'installation d'EZproxy 7.3 - Février 2024

  1. Dernière mise à jour
  2. Enregistrer en tant que PDF

 

Date d'installation : 6 février 2024

Introduction

La version 7.3 d'EZproxy est une version incrémentielle conçue pour améliorer la sécurité d'EZproxy et fournir de nouvelles fonctionnalités. 

Matériel d'accompagnement

Nouvelles fonctionnalités et améliorations

  • Wiley a été ajouté à l'identifiant pseudonyme.
  • Mise à jour d'EZproxy avec OpenSSL 3.0.11t. Cette version est la version LTS (Long Term Support). 
  • Les avis par courriel pour les règles de sécurité afficheront désormais le nom du serveur EZproxy. Cela permettra aux établissements qui exploitent plusieurs serveurs EZproxy de savoir quel serveur envoie l'avis par courriel.
  • La directive CookieFilter (en anglais) a été améliorée. Elle permet un contrôle plus précis des cookies transmis à un site Web. La directive a été modifiée comme suit :

    La directive initiale s'appliquait globalement une fois placée dans le fichier config.txt

    CookieFilter name

    La syntaxe a été modifiée pour des raisons de clarté

    CookieFilter -global -block name 
     
    Trois directives supplémentaires ont été introduites pour permettre un contrôle plus précis des cookies. 
     
    CookieFilter -global -forward name  
     
    Indique à EZproxy de transmettre le cookie nommé à tous les sites Web mandataires dont la configuration contient des stanzas. 
     
    CookieFilter -block name 

    Dépend de la position et est répétable. N'affectera que la ressource autour de laquelle il est placé. Possibilité d'utiliser un caractère générique pour bloquer tous les cookies. 
     
    CookieFilter -forward name 
     
    Dépend de la position et est répétable. N'affectera que la ressource autour de laquelle il est placé. Vous pouvez utiliser un caractère générique pour bloquer tous les cookies.
     

  • LDAP prend désormais en charge StartTLS qui permet à une application de sérialiser des demandes simples et sécurisées adressées à un serveur LDAP avec une seule connexion.
         
        Les éléments suivants peuvent être ajoutés au bloc LDAP du fichier user.txt pour activer ou désactiver StartTLS.
         
        StartTLS [activé ou désactivé]
         
        Doit apparaître au-dessus de la directive URL.  
         
        Lors de l'utilisation d'URL ldap:// avec StartTLS :
         
        désactivé – ne tentera pas de négocier le TLS
         
        activé – tentera de négocier le TLS via la connexion et bloquera l'authentification en cas d'échec de la négociation.

    Lors de l'utilisation d'URL ldaps://, la directive StartTLS sera ignorée par EZproxy.
     

    Pour plus de détails, voir la documentation de LDAP ici (en anglais).
     

        Les directives suivantes prennent désormais en charge les entrées séparées par des virgules.
         

        AllowIP

        AutoLoginIP *

        ExcludeIP *

        IncludeIP *

        NeverProxy

        RejectIP

        RedirectSafe
         
        Les directives marquées d'un * apparaissent sur la page « extended status ». Chaque valeur apparaîtra sur une ligne distincte.
         
        Exemples :
         
        ExcludeIP 192.168.1.1-192.168.1.10, 192.168.2.1-192.168.2.10
        RedirectSafe example.org, other.org

Problèmes corrigés

  • Résolution d'un problème lié à la commande de migration de la base de données de sécurité qui ralentissait le démarrage.
  • Résolution d'un problème où EZproxy ne nettoyait pas les fichiers temporaires créés lorsqu'EZproxy récupérait les métadonnées SAML à partir d'une URL. En cas d'échec lors de la récupération des métadonnées, EZproxy peut laisser un fichier temporaire nommé xl####.xml lors de chaque échec. EZproxy nettoie maintenant ces fichiers.
  • Résolution d'un problème qui provoquait potentiellement une panne d'EZproxy hébergé sur Linux. Auparavant, s'il n'y avait aucun utilisateur connecté et qu'une URL spécifique était utilisée pour accéder au serveur, EZproxy ne répondait plus. Ce problème a été résolu.
  • Correction d'une vulnérabilité où les identifiants de session EZproxy étaient précédemment inclus dans les URL présentées dans les tableaux de la page « admin status » d'EZproxy. Ces valeurs ont été randomisées pour empêcher l'identification de la session spécifique d'un utilisateur.

Problèmes connus

Déclenchement potentiel des règles si le site utilise l'authentification Shibboleth et que les noms d'utilisateur ne sont pas définis dans shibuser.txt

Si la variable de session EZproxy login:loguser n'est pas définie dans shibuser.txt, le nom d'utilisateur par défaut pour tous les utilisateurs utilisant l'authentification SAML devient « shibboleth ». Étant donnée que les règles de groupes sont déclenchées au niveau du nom d'utilisateur, de faux déclenchements de règles peuvent se produire.

Les règles avec des périodes de surveillance plus longues consomment plus d'espace disque

Les périodes de surveillance de 60 minutes ou plus consomme plus d'espace disque dans le répertoire /security pour stocker les preuves requises dans la base de données de sécurité. Veuillez surveiller l'utilisation du disque dans la base de données /security.

Certaines des règles par défaut dans EZproxy 7.1 contiennent des périodes de surveillance supérieures à 60 minutes. Si vous des contraintes d'espace disque, considérez mettre en commentaires ces règles.

Liens importants

Aide et documentation

De la documentation et de l'assistance pour ce produit et les produits associés sont disponibles. Consultez les liens ci-dessous.