PG Software - Votre distributeur IT

Editeur : ManageEngine
Produit : Exchange Reporter Plus
Date de la release : 24/12/21
Points forts :
  • Security Hardening : Accédez désormais à tous les paramètres de sécurité importants que vous devez configurer pour protéger Exchange Reporter Plus des attaques de sécurité sous un seul onglet. De plus, recevez des alertes après chaque connexion si l'un des paramètres de sécurité importants n'est pas encore activé.

Les options fournies sous cet onglet vous aident à :

  • Rendre obligatoire la communication HTTPS entre le navigateur et Exchange Reporter Plus par défaut.
  • Appliquer la réinitialisation de mot de passe administrateur par défaut.
  • Appliquer l'authentification à deux facteurs pour ajouter une couche de sécurité supplémentaire lors des connexions des utilisateurs.
  • Établir une connexion LDAP sécurisée entre Exchange Reporter Plus et l'Active Directory.
  • La mise en conformité RGPD.

Note : la prise en charge MySQL a été arrêtée pour Exchange Reporter Plus à partir de la version 5700. Si vous utilisez Exchange Reporter Plus avec MySQL, vous devez d'abord migrer vers une base de données PostgreSQL ou MS SQL, pour pouvoir mettre à jour la version récente.

Vulnérabilité Log4j :

  • Pour éviter la vulnérabilité DOS (CVE-2021-45105) dans la version 2.16.0 de Log4j, nous avons mis à jour le fichier JAR vers la version 2.17.0.

Correction de problèmes :

  • Le problème de retard dans le démarrage du produit a été corrigé.
  • Le problème de calcul de la moyenne dans les rapports de trafic par e-mail a été corrigé.
  • Le temps de chargement des rapports de trafic par e-mail a été réduit.
  • Quelques autres vulnérabilités ont été corrigées. (build 5700)

Point fort :

Correction de la vulnérabilité Log4j

Les versions 5614 et suivantes d'Exchange Reporter Plus utilisaient la version 2.11.1 de Log4j. Pour éviter les vulnérabilités RCE (CVE-2021-44228) et DOS (CVE-2021-45046), nous avons mis à niveau le JAR Log4j vers la version 2.16.0, et avons supprimé la classe JndiLookup du classpath JAR Log4j. (build 5616)