Editeur : ManageEngine

Produit : Password Manager Pro

Date de la release : 25/05/22

  Nouvelles fonctionnalitées :

• Password Manager Pro prend désormais en charge la création de programmes pour la découverte automatique des nouveaux comptes privilégiés lors de la découverte de Linux, des périphériques réseau et de VMware.

  Améliorations :

• Auparavant, les utilisateurs ne pouvaient configurer SAML que pour le serveur primaire en tant que fournisseur de services. Désormais, le serveur secondaire peut être configuré comme un fournisseur de services distinct, ce qui permet aux utilisateurs de se connecter au serveur secondaire à l'aide de SAML lorsque le serveur primaire est hors service ou indisponible.
• Le code de gestion de l'API est amélioré pour prendre en charge le format API V3 de ServiceDesk Plus MSP.
• Le SDK de Dropbox a été mis à jour de la version 3.0.3 à la version 5.0.0. À partir de maintenant, un jeton d'accès à courte durée de vie sera utilisé.
• Les administrateurs peuvent désormais activer et configurer un message de bienvenue personnalisable au début d'une session. En outre, ils peuvent activer le statut d'enregistrement de la session dans la fenêtre de session.
• Auparavant, Password Manager Pro n'avait pas de processus d'approbation pour les mots de passe VNC. Dorénavant, Password Manager Pro permettra des validations, telles que le contrôle d'accès et le service d'assistance pour les mots de passe VNC. Remarque : Après la mise à niveau vers 12100, tous les mots de passe des ressources VNC seront ajoutés à un compte - "_VNCACCOUNT_" sous leurs ressources respectives. Les utilisateurs peuvent prendre des connexions VNC directement à partir de ce compte pour les ressources respectives.
• Depuis la version 12100, les administrateurs de Password Manager Pro peuvent modifier les messages dans la boîte de dialogue du flux de travail du contrôle d'accès en utilisant des modèles de messages.
• Auparavant, les utilisateurs pouvaient se connecter automatiquement aux ressources en utilisant uniquement le compte AD connecté. Désormais, la connexion automatique est également possible via les comptes LDAP et Azure AD connectés.
• Option de réinitialisation MFA pour les administrateurs privilégiés : À partir de la version 12100, les administrateurs peuvent réinitialiser l'authentification multifactorielle (MFA) pour les utilisateurs, et les utilisateurs pourront également réinitialiser le MFA pour eux-mêmes.
• Déconnexion unique SAML : Password Manager Pro prend désormais en charge la déconnexion unique SAML, qui met automatiquement fin à toutes les sessions associées établies à l'aide de SAML SSO lorsque l'utilisateur se déconnecte de l'interface utilisateur PMP.
• Nouvelle API REST : Une nouvelle API REST, "Reset Two-Factor Authentication", a été ajoutée. Elle est idéale pour les utilisateurs de l'API REST ayant un rôle d'administrateur ou un rôle personnalisé avec une opération d'administration pour réinitialiser automatiquement l'authentification à deux facteurs configurée pour les utilisateurs finaux en fournissant leur nom d'utilisateur - par exemple, lorsqu'un utilisateur perd son téléphone configuré avec PAM360 MFA.
• En plus du protocole TLS 1.1, Password Manager Pro communique désormais avec les agents via le protocole TLS 1.2.

  Changement de comportement :

• Désormais, les utilisateurs peuvent lancer des connexions VNC par le biais de leurs comptes VNC respectifs à partir de l'onglet Ressources uniquement.

 Corrections :

• À partir de la version 11103, lorsque la configuration du serveur proxy était activée dans Password Manager Pro, les utilisateurs utilisant la dernière version de Duo TFA rencontraient un délai d'authentification prématuré. Ce problème a été corrigé.

Editeur : ManageEngine

Produit : EventLog Analyzer

Date de la release : 20/04/22

  Améliorations :

• L'interface graphique du module de collecte des journaux d'EventLog Analyzer a été mise à jour pour améliorer l'expérience des utilisateurs.

Lire la suite...

Editeur : ManageEngine

Produit : Password Manager Pro

Date de la release : 14/04/22

  Corrections de sécurité :

• Une vulnérabilité de contournement d'authentification (CVE-2022-29081) affectant les versions de ManageEngine Password Manager Pro de 10103 à 12006, a été corrigée. Elle était due à une vérification incorrecte de l'URI qui permettait à un adversaire de contourner les contrôles de sécurité dans sept URL RESTAPI, d'obtenir un accès non autorisé à l'application et d'invoquer les opérations suivantes :
  • Redémarrez le service. (Restart the service.)
  • Appliquer les certificats du serveur. (Apply server certificates.)
  • Accéder aux détails du tableau de bord. (Access the dashboard details.)
  • Obtenir les détails de la licence existante. (Get existing license details.)
  • Appliquer une nouvelle licence au produit. (Apply new license to the product.)
  • Récupérer les journaux d'événements. (Fetch event logs.)
  • Configurer les calendriers de synchronisation. (Set up synchronization schedules.)
  • Créer de nouveaux certificats. (Create new certificates.)
  • Créer et télécharger des CSR. (Create and download CSR.)

  Améliorations :

• À partir de cette version, nous avons amélioré nos contrôles de sécurité contre les vulnérabilités Path Traversal, Local File Inclusion, Stored XSS, Reflected XSS et DOM XSS.
• À partir de cette version, trois nouveaux rapports par défaut, basés sur des requêtes, ont été ajoutés dans la catégorie "Ressources" - Ressources avec comptes, Ressources avec types, et Ressources avec mots de passe non groupés.

 Corrections :

• À partir de la version 12005, les machines serveur de Password Manager Pro ont connu des problèmes de performance en raison d'un volume élevé de demandes d'agents PMP dans les environnements où les agents PMP étaient déployés sur les points finaux. Ce problème est maintenant résolu.
• À partir de la version 12005, la recherche globale par mot-clé renvoyait toutes les ressources au lieu des résultats de recherche filtrés basés sur le mot-clé de recherche spécifique saisi. Ce problème a été corrigé. (build 12006)
• À partir de la version 12000, les utilisateurs ne pouvaient pas lancer de sessions RDP à l'aide de comptes de domaine Windows si le champ "Reason" de l'assistant "Auto logon using other domain accounts" contenait des caractères spéciaux, tels que #. (build 12006)

Editeur : ManageEngine

Produit : Password Manager Pro

Date de la release : 28/03/22

  Mise à jour :

• Apache Log4j a été mis à niveau vers la dernière version 2.17.2.

  Améliorations :

• À partir de cette version, nous avons amélioré nos contrôles de sécurité contre les vulnérabilités Path Traversal, Local File Inclusion, Stored XSS, Reflected XSS et DOM XSS.
• À partir de cette version, trois nouveaux rapports par défaut, basés sur des requêtes, ont été ajoutés dans la catégorie "Ressources" - Ressources avec comptes, Ressources avec types, et Ressources avec mots de passe non groupés.

  Corrections :

• À partir de la version 12004, lorsque l'option "Windows Remote Desktop" était désactivée sous "Auto Logon Helper" pour un type de ressource particulier, la case à cocher "Record RDP Sessions" n'apparaissait pas dans l'assistant "Add/Edit Account" même si l'option "RDP Console Session" était activée pour ce type de ressource. Ce problème a été corrigé.
• A partir de la version 12004, la case à cocher 'Enregistrer les sessions SSH/Telnet' n'était pas disponible pour le type de synchronisation 'Domaine Windows'. Ce problème a été corrigé.
• A partir de la version 12004, l'option 'SSH Port For Auto Logon' n'était pas visible dans l'assistant 'Edit Resource' pour les types de ressources réseau tels que Fortigate, VMware Vcenter, et Brocade. Ce problème a été corrigé.