Editeur : ManageEngine

Produit : Desktop Central

Date de la release : 18/01/22

Cet avis de sécurité concerne un correctif de sécurité critique publié par ManageEngine Desktop Central pour la vulnérabilité CVE-2021-44757. Veuillez lire ce document dans son intégralité pour comprendre la nature de cette vulnérabilité et les mesures à prendre pour l'atténuer. Veillez à informer vos clients à ce sujet afin d'éviter toute exploitation dans leurs installations. Nous leur avons également envoyé une notification.

Description - Une vulnérabilité de contournement d'authentification enregistrée sous le nom de CVE-2021-44757 a été identifiée et corrigée.

Impact - Si elle est exploitée, cette vulnérabilité peut permettre à un hacker de lire des données non autorisées ou d'écrire un fichier zip arbitraire dans le serveur.

Atténuation - Le correctif pour cette vulnérabilité a été publié le 17-01-2022. Nous recommandons fortement à nos utilisateurs de passer à la dernière version. Veuillez consulter le document Desktop Central KB et le document Desktop Central MSP KB.

Note :
1. Cette vulnérabilité a été signalée dans le cadre de notre programme de divulgation responsable. Il n'y a pas d'exploitation active connue de cette vulnérabilité.
2. Avec cette version, nous avons ajouté quelques améliorations de sécurité basées sur notre évaluation interne.

Recommandation - Veuillez suivre les directives de renforcement de la sécurité pour Desktop Central et Desktop Central MSPafin de vous assurer que tous les contrôles de sécurité sont configurés pour assurer la sécurité de votre réseau.

Editeur : ManageEngine

Produit : Key Manager Plus

Date de la release : 18/01/22

 Nouvelles fonctionnalités :

• Support de l'authentification à deux facteurs
  Key Manager Plus vous permet désormais de vous intégrer aux services suivants afin de fournir un dispositif d'authentification à deux facteurs pour la connexion aux applications.
  1. Google Authentificator
  2. Microsoft Authentificator
  3. One-time password (OTP)
• Intégration au Gestionnaire de certificats AWS (AWS Certificate Manager / ACM)
• Key Manager Plus prend désormais en charge l'intégration avec AWS Certificate Manager (ACM) - une autorité de certification et un gestionnaire de certificats de confiance. Cette intégration permet aux utilisateurs de demander, d'acquérir et de déployer des certificats de Key Manager Plus vers AWS ACM, de renouveler et d'automatiser la gestion du cycle de vie de bout en bout des certificats SSL/TLS émis et gérés par ACM, directement à partir de l'interface web de Key Manager Plus.

 Améliorations :

• Key Manager Plus permet désormais aux opérateurs de sélectionner directement les administrateurs pour envoyer un courriel lors de l'ajout d'une demande de certificat sur la page de demande de certificat.
• En plus des certificats de serveur, Key Manager Plus permet maintenant aux utilisateurs d'importer des certificats de client de DigiCert et de les gérer dans le référentiel de Key Manager Plus.
• Auparavant, seuls les administrateurs étaient en mesure d'effectuer la signature des CSR. Désormais, les administrateurs peuvent autoriser les opérateurs à signer les certificats.
• Les utilisateurs peuvent désormais créer une tâche planifiée pour la découverte des certificats AWS.

Lire la suite...

Editeur : ManageEngine

Produit : OpManager

Date de la release : 7/01/22

Général :

• Auparavant, la logique de réinitialisation du mot de passe était prévisible, comme l'a signalé HaYiCle. Cela a maintenant été mis à jour pour améliorer la sécurité.
• Les entrées inutilisées dans le descripteur de déploiement de l'application web ont été supprimées.
• Pour améliorer la sécurité et prévenir les vulnérabilités, certaines améliorations ont été mises en œuvre dans le produit.
• Des utilisateurs non privilégiés pouvaient accéder à des points d'extrémité de plusieurs modules. Ce problème a été corrigé.
• Les graphiques de performance du moniteur dans le module de performance du système n'affichaient pas les dates avec l'heure dans l'axe des X. Ce problème a été corrigé.
• Les utilisateurs ne pouvaient pas enregistrer les paramètres client configurés, disponibles sous Paramètres système, en raison d'un format de date et d'heure non pris en charge. Ce problème a été résolu.
• La réponse de l'API à l'option du widget Modifier dans le tableau de bord a été modifiée.

Lire la suite...

Editeur : ManageEngine

Produit : Password Manager Pro

Date de la release : 24/12/21

• La build Majeure 12000 est disponible depuis le 18 Novembre 2021
• La build Mineure 12001 est disponible depuis le 26 Novembre 2021
• La build Mineure 12002 est disponible depuis le 4 Décembre 2021
• La build Mineure 12003 est disponible depuis le 24 Décembre 2021

  Nouvelles fonctionnalitées (build 12000) :

• Le framework de sécurité interne a été mis à jour dans sa dernière version afin de réduire l'apparition de vulnérabilités et d'améliorer la sécurité globale.
• Le serveur PostgreSQL a été mis à jour de la version 9.5.21 à 10.18.
• Le serveur Apache Tomcat a été mis à niveau de la version 8.5.32 à la version 9.0.54.
• L'outil Rubyrep a été mis à jour de la version 1.2.0 à 2.0.1.
• Password Manager Pro a maintenant migré vers la plateforme OpenJDK, version 1.8 .0_252.
• En plus de prendre en charge le pilote JDBC de JTDS pour se connecter au serveur SQL, Password Manager Pro prend désormais en charge le pilote JDBC de Microsoft, version 8.4.1.
• Nous avons mis en place une vérification de l'intégrité des patchs, qui nécessitera désormais l'importation d'un certificat SSL (disponible sous forme de fichier téléchargeable) à chaque fois que le produit est mis à niveau à l'aide du fichier PPM. Il s'agit d'une opération unique. Pour les instructions de mise à niveau et les liens de téléchargement PPM, cliquez ici.
• Password Manager Pro permet aux utilisateurs d'ajouter des comptes via l'agent de domaine Windows lorsque le filtre de compte est fourni à l'aide de motifs regex.
• Désormais, si un administrateur empêche un utilisateur de configurer la phrase de chiffrement pour ses mots de passe personnels (sous "Paramètres généraux"), l'utilisateur peut configurer une "clé de chiffrement" pour ses mots de passe personnels dans l'onglet "Personnel". Il est également libre de choisir de stocker ou non la clé de chiffrement ou d'utiliser la clé de chiffrement de Password Manager Pro.
• Il est maintenant possible de déplacer les utilisateurs RESTAPI vers le client, et les organisations clientes supportées avec un accès complet peuvent gérer les ressources et les comptes.
• Les six programmes d'audit créés par le système - "Resource Audit Purge Schedule", "Resource Audit Digest Schedule", "UserAudit Purge Schedule", "UserAudit Digest Schedule", "TaskAudit Purge Schedule" et "TaskAudit Digest Schedule" - ont été fusionnés en un seul programme - "Audit Purge and Digest Schedule".
• La tâche planifiée créée par le système 'Audit Update Schedule' a été renommée 'Dashboard Chart Activity Schedule'. Elle est disponible sous 'Admin >> Manage >> Scheduled Tasks'.
• Auparavant, lorsque l'option "Purger les enregistrements d'audit" était activée, tous les enregistrements d'audit antérieurs au nombre de jours spécifié étaient purgés. À partir de la version 12000, les utilisateurs peuvent choisir de conserver ou de supprimer les enregistrements d'audit en fonction du type d'opération.
• Désormais, les administrateurs MSP pourront reproduire les paramètres du type d'opération d'audit et les paramètres de purge d'audit dans toutes les organisations clientes.
• RestApi : Cette version est accompagnée d'une série de nouvelles API REST pour les opérations suivantes : Associer une ressource à un groupe de ressources, Dissocier une ressource d'un groupe de ressources, Récupérer les groupes de ressources associés à une ressource, Supprimer un groupe de ressources et Récupérer ResourceGroupID.

Lire la suite...