Editeur : ManageEngine

Produit : Password Manager Pro

Date de la release : 14/04/22

  Corrections de sécurité :

• Une vulnérabilité de contournement d'authentification (CVE-2022-29081) affectant les versions de ManageEngine Password Manager Pro de 10103 à 12006, a été corrigée. Elle était due à une vérification incorrecte de l'URI qui permettait à un adversaire de contourner les contrôles de sécurité dans sept URL RESTAPI, d'obtenir un accès non autorisé à l'application et d'invoquer les opérations suivantes :
  • Redémarrez le service. (Restart the service.)
  • Appliquer les certificats du serveur. (Apply server certificates.)
  • Accéder aux détails du tableau de bord. (Access the dashboard details.)
  • Obtenir les détails de la licence existante. (Get existing license details.)
  • Appliquer une nouvelle licence au produit. (Apply new license to the product.)
  • Récupérer les journaux d'événements. (Fetch event logs.)
  • Configurer les calendriers de synchronisation. (Set up synchronization schedules.)
  • Créer de nouveaux certificats. (Create new certificates.)
  • Créer et télécharger des CSR. (Create and download CSR.)

  Améliorations :

• À partir de cette version, nous avons amélioré nos contrôles de sécurité contre les vulnérabilités Path Traversal, Local File Inclusion, Stored XSS, Reflected XSS et DOM XSS.
• À partir de cette version, trois nouveaux rapports par défaut, basés sur des requêtes, ont été ajoutés dans la catégorie "Ressources" - Ressources avec comptes, Ressources avec types, et Ressources avec mots de passe non groupés.

 Corrections :

• À partir de la version 12005, les machines serveur de Password Manager Pro ont connu des problèmes de performance en raison d'un volume élevé de demandes d'agents PMP dans les environnements où les agents PMP étaient déployés sur les points finaux. Ce problème est maintenant résolu.
• À partir de la version 12005, la recherche globale par mot-clé renvoyait toutes les ressources au lieu des résultats de recherche filtrés basés sur le mot-clé de recherche spécifique saisi. Ce problème a été corrigé. (build 12006)
• À partir de la version 12000, les utilisateurs ne pouvaient pas lancer de sessions RDP à l'aide de comptes de domaine Windows si le champ "Reason" de l'assistant "Auto logon using other domain accounts" contenait des caractères spéciaux, tels que #. (build 12006)

Editeur : ManageEngine

Produit : Password Manager Pro

Date de la release : 28/03/22

  Mise à jour :

• Apache Log4j a été mis à niveau vers la dernière version 2.17.2.

  Améliorations :

• À partir de cette version, nous avons amélioré nos contrôles de sécurité contre les vulnérabilités Path Traversal, Local File Inclusion, Stored XSS, Reflected XSS et DOM XSS.
• À partir de cette version, trois nouveaux rapports par défaut, basés sur des requêtes, ont été ajoutés dans la catégorie "Ressources" - Ressources avec comptes, Ressources avec types, et Ressources avec mots de passe non groupés.

  Corrections :

• À partir de la version 12004, lorsque l'option "Windows Remote Desktop" était désactivée sous "Auto Logon Helper" pour un type de ressource particulier, la case à cocher "Record RDP Sessions" n'apparaissait pas dans l'assistant "Add/Edit Account" même si l'option "RDP Console Session" était activée pour ce type de ressource. Ce problème a été corrigé.
• A partir de la version 12004, la case à cocher 'Enregistrer les sessions SSH/Telnet' n'était pas disponible pour le type de synchronisation 'Domaine Windows'. Ce problème a été corrigé.
• A partir de la version 12004, l'option 'SSH Port For Auto Logon' n'était pas visible dans l'assistant 'Edit Resource' pour les types de ressources réseau tels que Fortigate, VMware Vcenter, et Brocade. Ce problème a été corrigé.

Editeur : ManageEngine

Produit : EventLog Analyzer

Date de la release : 4/03/22

  Nouvelles fonctionnalitées :

• Un tableau de bord intuitif pour fournir des informations en temps réel sur les activités des serveurs web Apache.
• EventLog Analyzer vous permet désormais de configurer des filtres de collecte de journaux pour les applications internes. (Build 12218)
• L'analyseur de journaux d'événements comprend maintenant un onglet de renforcement de la sécurité pour gérer et configurer tous les paramètres de sécurité à partir d'un seul endroit. (build 12216)
• Changement obligatoire du mot de passe par défaut pour le compte administrateur intégré. (build 12216)
• EventLog Analyzer dispose désormais de rapports de conformité prêts à l'emploi pour la certification CMMC (Cybersecurity Maturity Model Certification). (Build 12211)

  Améliorations :

• La fonction de renforcement de la sécurité de DCOM a été mise à jour. Le niveau d'authentification WMI a été augmenté comme suggéré par Microsoft. (Build 12218)
• L'interface utilisateur des paramètres dans EventLog Analyzer a été remaniée pour améliorer l'expérience de l'utilisateur. (Build 12216)
• Pour l'adoption du WAF et pour améliorer la sécurité, une refonte du code interne a été effectuée. (Build 12216)

Lire la suite...

Editeur : ManageEngine

Produit : Password Manager Pro

Date de la release : 23/02/22

  Corrections :

• A partir de ManageEngine ADSSP build 6117, l'intégration avec Password Manager Pro était inopérante. Ce problème a été corrigé.
• A partir de la version 12000, les administrateurs ne pouvaient pas supprimer les rôles personnalisés. Ce problème a été corrigé.
• À partir de la version 12000, lorsque les utilisateurs configuraient "Purger les enregistrements d'audit" et que le nombre de jours spécifié était défini sur 0, pour désactiver la purge, Password Manager Pro supprimait tous les enregistrements d'audit. Ce problème a été corrigé maintenant.