PG Software - Votre distributeur IT

Editeur : ManageEngine
Produit : AD SelfService Plus
Date de la release : 26/05/21

  Améliorations :

  • Les administrateurs peuvent désormais configurer les adresses e-mail des managers des utilisateurs pour leur envoyer des notifications sur les activités des utilisateurs telles que la réinitialisation du mot de passe en libre-service, le déverrouillage du compte en libre-service, le changement de mot de passe et l'inscription.
  • Le code de vérification de l'e-mail généré lors de l'inscription et de la vérification de l'identité de l'utilisateur peut maintenant être envoyé à l'administrateur ou au manager par e-mail.
  • Une option a été introduite pour bloquer des domaines de messagerie spécifiques et des formats mobiles fournis lors de l'inscription de l'utilisateur.

Correction des problèmes :

  • Une vulnérabilité qui conduisait à une exécution de code à distance non authentifiée et authentifiée par injection PowerShell a été corrigée.
  • Si l'utilisateur saisissait une adresse e-mail lors de l'inscription et que cette même adresse était ensuite mise à jour en tant que valeur de l'attribut AD mail de l'utilisateur, ce dernier ne recevait pas les notifications planifiées et l'adresse e-mail était affichée deux fois lors de l'authentification par vérification de l'e-mail. Ce problème a été corrigé.
  • Lorsque les utilisateurs accèdent au portail de l'utilisateur final via l'authentification NTLM, les actions de l'utilisateur ne pouvaient pas être effectuées dans certains environnements Windows. Ce problème a été corrigé.
  • La configuration de l'authentification RADIUS échouait lorsque la clé secrète contenait des caractères spéciaux spécifiques (<, >, ', ", et &). Ce problème a été corrigé.
  • Un problème qui se produisait dans les liens sécurisés générés pour la vérification des e-mails a été corrigé.(build 6105)

Corrections d'un problème de vulnérabilité :

  • Une vulnérabilité qui permettait dans de rares cas de contourner le CAPTCHA dans la page de connexion de ADSelfService Plus a été corrigée.
  • Une vulnérabilité rare d'attaque Cross-Site Scripting dans le champ d'adresse e-mail utilisé dans la fonction de recherche d'employés a été corrigée. (Reporter : Matt CVE-ID : CVE-2021-27956)
  • Une vulnérabilité qui, dans de rares cas, pouvait provoquer des attaques de type Reflected Cross-Site Scripting a été corrigée.
  • Une vulnérabilité qui, dans de rares cas, permettait aux pirates d'exposer des informations sur l'application de base de données configurée pour la synchronisation des mots de passe a été corrigée.
  • Une vulnérabilité qui dans de rares cas permettait aux pirates de contourner la restriction d'accès au portail d'administration d'ADSelfService Plus basée sur les adresses IP a été corrigée. (build 6104)

Comment mettre à jour ? 

Mise à jour à l'aide du service pack