ManageEngine在交付高度安全的产品时极其小心。ManageEngine安全响应中心(MESRC)尝试监控、识别、调查、解决和响应与其产品相关的安全漏洞。
作为我们寻求安全的一部分,MESRC会始终监控各种安全论坛,包括US-CERT、国家漏洞数据库、Bugtraq等,以识别ManageEngine产品或与ManageEngine产品捆绑在一起的第三方软件上报告的任何漏洞。
Apache Log4j2 更新信息
我司针对Apache Log4j2 的更新信息请点击查看quick update。
CVE-2021-44525漏洞
Password Manager Pro客户
本文的建议在于解决Password Manager Pro 12001版本中发现的一个身份验证漏洞[CVE-2021-44525]。
鉴于该漏洞的严重性,我们强烈建议所有使用Password Manager Pro 12001的用户立即将其升级到最新版本。
漏洞信息
CVE-2021-44525主要影响使用Password Manager Pro专业版的客户。此漏洞可能被恶意人员利用,通过特定的几个应用程序URL获得对应用程序的非法授权的访问,并调用操作。
严重程度:高
影响:
恶意人员可以通过操纵请求url来利用此漏洞,这些请求url允许它们在产品中执行管理操作。主要包括:
*但此漏洞不会暴露存储在产品密码库中的任何特权帐户信息、凭据和密码。
是什么导致了这种漏洞?
用于处理列表视图中状态的一个应用程序过滤器没有正确配置,并且使用此过滤器精心制作的URL可以在没有适当身份验证的情况下访问需经过身份验证的servlet。
谁受到影响?
此漏洞会影响所有使用12001版本的客户。
我们是怎么解决的?
我们已经添加了额外的检查,以确保正确配置,避免身份验证绕过漏洞。
如何确定您的当前版本是否受到影响?
单击Password Manager Pro web客户端右上角的“我的个人资料”图标,并从下拉菜单中选择“关于”以查看当前版本。如果当前版本(完整版本号)为12001及以下,则您的环境存在漏洞。
客户应该做什么
于2021年12月12日发布的Password Manager Pro 版本12002包含了针对该漏洞的缓解措施。我们建议用户若正在使用构建号为12001或更早的版本,则升级到构建号12002。
重要提示:我们强烈建议您在升级前备份整个Password Manager Pro安装文件夹,并将副本保存在一个单独、安全的位置。这有助于您预防任何意外数据丢失,并保持所有设置的完整。如果您正在使用MSSQL服务器作为后端数据库,请在升级之前也备份Password Manager Pro 的数据库。升级成功完成后,请记住要删除备份,避免数据泄露风险。
我们对这可能造成的任何不便表示最诚挚的歉意。如果您有任何问题或担忧,请联系我们的support@manageengine.cn
除了自己对漏洞保持警惕外,MESRC还高度鼓励ManageEngine的客户、潜在客户和安全专家/研究人员,将他们发现的任何产品的安全漏洞报告给MESRC。可访问网址https://bugbounty.zoho.com/将漏洞报告给MESRC。有关漏洞报告的更多信息,请联系security@manageengine.com。
获取有关漏洞的信息后,MESRC中相应的产品专家会验证信息的准确性、调查原因并采取补救措施进行修复。准备好补救方案后,会以服务包/补丁的方式按照正常的支持流程提供给所有客户。
对于与ManageEngine产品捆绑在一起的第三方软件相关的漏洞,对所报告漏洞的响应将取决于相应第三方软件的响应能力。
ManageEngine产品的使用、支持和维护完全取决于ManageEngine与客户之间的相应许可协议。本页中有关MESRC的信息不会以任何方式修改或扩大许可协议。有关任何ManageEngine产品的任何漏洞的任何信息,如向MESRC报告,都将由ManageEngine所独有。