Notes de version Tenable Identity Exposure 2024 — Sur site
Ces notes de version sont répertoriées dans l'ordre chronologique inverse.
Tenable Identity Exposure 3.77.6 (2024-12-04)
Correctifs
La version 3.77.6 de Tenable Identity Exposure contient les correctifs suivants :
| Le fichier updater.exe est désormais signé numériquement avec le certificat Tenable. Cette signature apporte une protection contre les modifications non autorisées et garantit l'authenticité du fichier. |
| Tenable Identity Exposure fournit désormais les vecteurs d'attaque appropriés pour PetitPotam via un moteur de corrélation amélioré. Vous devez redéployer l'observateur d'événements IoA. |
| Tenable Identity Exposure prend désormais en charge des formats DNS inversés supplémentaires pour extraire les adresses IPv4 des objets DnsNode, et ainsi traiter les sorties précédemment « inconnues » dans la fonction Indicateur d'attaque. Cette amélioration optimise la contextualisation des alertes et augmente la précision des IoA pertinents en mode standard. |
| Les alertes TCP Syslog fonctionnent comme prévu sous Windows Server 2016. |
| La tâche planifiée Secure Relay a désormais le paramètre valide -AfadRolePath. Pendant une mise à niveau, Tenable Identity Exposure supprime et recrée les tâches planifiées. |
| L'IoE « Paramétrages dangereux sur des serveurs ADCS » prend désormais en compte l'option « Whitelisted Trustee » (DN de confiance). |
| L'IoE « Délégation Kerberos dangereuse » applique désormais la liste blanche des objets désactivés. |
| L'IoE « Application de stratégies de mot de passe faible aux utilisateurs » n'affiche plus de faux positifs pour le motif « Aucune PSO privilégiée n'est appliquée sur le domaine ». |
| Les attributs incriminants affichent désormais des valeurs détaillées lorsqu'ils sont localisés. |
| L'indicateur d'attaque « Extraction NTDS » a renommé l'option « Processus autorisés » pour clarifier son utilisation en mode « agressif » uniquement et a supprimé l'option non utilisée « Chemins de destination NTDS autorisés ». |
| Tenable Identity Exposure produit désormais des exportations au format CSV appropriées en échappant les guillemets doubles ("), améliorant ainsi la précision des données exportées. |
| Lorsque certains domaines sont inaccessibles, les tests de connectivité pour tous les domaines affichent de meilleures performances pour éviter les délais d'expiration inattendus de l'interface web. |
| Tenable Identity Exposure s'adapte désormais pour analyser les journaux d'événements Windows importés avec un retard. |
| Les indicateurs d'exposition (IoE) affichent désormais la date de la dernière détection avec une plus grande précision. |
| Les détections d'une déviance Microsoft Entra ID correspondent désormais correctement au tenant sélectionné. |
| Dans certains cas extrêmes, Tenable Identity Exposure ne peut pas analyser les empreintes de mot de passe. |
| Tenable Identity Exposure a ajouté le champ « UserNameVariants » à DCSyncData, permettant la création d'une liste blanche de noms d'utilisateurs indépendamment du format (SID, UPN, sAMAccountName). Actuellement, cette modification s'applique uniquement à l'indicateur d'attaque DCSync (IoA). |
| Envoy stocke le certificat CA dans un format chiffré, la taille de la configuration de l'itinéraire par défaut étant passée de 4 Ko à 4 Mo pour accueillir des charges de travail plus importantes. |
| Tenable Identity Exposure teste désormais correctement la connectivité à cloud.tenable.com. |
| Après un problème de connectivité LDAP, le Directory Listener redémarre automatiquement après 12 heures pour se resynchroniser avec tous les états ADObject qu'il aurait pu manquer. |
| Les alertes UDP Syslog tronquent désormais la charge de travail une fois qu'elle a atteint la taille de la MTU. |
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|
| Tenable Identity Exposure | 3.77.3 | 3.77.6 |
| C++ 2015-2019 Redistribuable | 14.38.33135.0 | 14.38.33135.0 |
| Pack d'hébergement .NET sur Windows Server | 8.0.10.24468 | 8.0.11.24521 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.18.0 | 20.18.1.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.5 |
| RabbitMQ | 3.12.14 | 4.0.3 |
| SQL Server | 15.0.4385.2 | 15.0.4405.4 |
| OpenSSL | 3.3.2 | 3.3.2 |
| Envoy | 1.29.9 | 1.29.10 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.11.0 |
Tenable Identity Exposure 3.77.3 (2024-11-06)
Nouvelles fonctionnalités
-
Indicateurs d'attaque (IoA)
-
Nouveaux modes standard et agressif — Le mode standard est conçu pour les clients qui préfèrent une configuration simplifiée : il minimise le temps de configuration et réduit le nombre de faux positifs, ce qui améliore le rapport signal-bruit des alertes. Cela s'applique aux IoA suivants :
-
DCSync
-
Changement de mot de passe suspect sur un DC
-
Golden Ticket
-
Extraction NTDS
-
Dumping des identifiants système : mémoire LSASS
-
Énumération des administrateurs locaux
-
Usurpation de sAMAccountName
-
-
-
Indicateurs d'exposition (IoE)
-
Nouveaux IoE
- Shadow Credentials — Un nouvel IoE détecte les portes dérobées et les mauvaises configurations d'identifiants/informations d'authentification fantômes dans la fonctionnalité « Windows Hello Entreprise » et les identifiants de clé associés.
-
Paramétrages dangereux sur des comptes de service administrés — Un nouvel IoE s'assure que les comptes de service administrés disposent du déploiement et de la configuration appropriés.
-
Configuration de silo d'authentification privilégié — Aide les administrateurs AD à installer et à configurer un silo d'authentification pour les comptes Tier-0.
-
Intégrité des Property Sets — « Property Set » dans Microsoft Active Directory (AD) regroupe plusieurs attributs pour une gestion plus facile et plus efficace des ACL. Cet indicateur d'exposition vérifie les mauvaises configurations ou les portes dérobées potentielles au sein de ces objets AD et de leurs attributs.
-
Comptes utilisateurs AD privilégiés synchronisés avec Microsoft Entra ID — Vérifie que les comptes utilisateurs privilégiés Active Directory ne sont pas synchronisés avec Microsoft Entra ID.
-
Compte invité activé — Vérifie que le compte invité intégré est désactivé.
-
Principaux de sécurité en conflit — S'assure de l'absence d'utilisateurs, d'ordinateurs ou de groupes dupliqués (en conflit).
-
IoE basés sur un RSOP — Pour améliorer les performances, Tenable Identity Exposure exclut les vérifications RSoP (jeu de stratégies résultant) en direct. Au lieu de cela, planifiez une vérification de sécurité RSoP toutes les 30 minutes, ce qui permet une meilleure gestion des vérifications connexes qui sont nécessaires pendant le processus RSoP. Pour plus d'informations, voir RSOP-based Indicators of Exposure (Indicateurs d'exposition basés sur un RSoP).
-
Date de la dernière modification du mot de passe du compte KRBTGT — Ajout de la prise en charge du compte krbtgt_AzureAD dans Windows Hello Entreprise (déploiement Cloud Trust).
-
Mots de passe utilisant un algorithme de chiffrement réversible — Inclut désormais la validation des mots de passe utilisant un algorithme de chiffrement réversible définis par la PSO avec l'attribut msDS-PasswordReversibleEncryptionEnabled.
-
Gestion des comptes d'administration locaux — Prise en charge de la nouvelle version de Windows LAPS. Introduit une nouvelle option appelée « Version LAPS installée » et valide la configuration de la version LAPS en fonction des sélections de l'utilisateur.
-
- Proxy — Possibilité de définir une connexion proxy lors de l'installation ou de la mise à niveau de Tenable Identity Exposure. Cette connexion proxy permet aux environnements sur site de fonctionner avec les fonctionnalités Tenable One.
-
Installation du Secure Relay — Le programme d'installation amélioré facilite le chargement du certificat auto-signé à partir du Directory Listener lorsque vous installez le Secure Relay sur une machine distincte (autonome).
Améliorations
-
Les alertes par e-mail ne prennent désormais en charge que les protocoles de chiffrement sécurisés, plus précisément TLS 1.2 et 1.3. Les clients qui ont configuré leur Secure Relay de manière à forcer l'utilisation de normes de chiffrement SMTP obsolètes, comme SSLv3, doivent supprimer cette configuration. Les seules valeurs autorisées sont « Tls12 », « Tls13 » et « TLS12, Tls13 » pour basculer automatiquement en fonction de la version du serveur. L'utilisation de valeurs non prises en charge empêchera le relais de démarrer.
-
Nouveau « délai avant l'envoi d'alertes » de 10 heures (IoA Golden Ticket) pour autoriser les utilisateurs légitimes pendant cette période et ainsi réduire le nombre de faux positifs.
-
Configuration IoA — Possibilité de choisir la durée de collecte d'événements avant de déclencher l'analyse des événements. Les valeurs sont limitées de 30 secondes à 9 minutes.
-
Active Directory — La limite de taille des objets AD gérés par Tenable Identity Exposure a été augmentée.
-
Indicateurs d'exposition
-
Délégation Kerberos dangereuse
-
Ne considère plus les utilisateurs possédant une carte à puce comme un problème de sécurité, car ils ne sont pas affectés par l'attaque AS-REP Roasting.
-
Ne signale plus les ordinateurs comme déviants pour le motif « Non protégés contre la délégation » ; résout toutes les déviances existantes.
-
Un nouveau motif signale tous les comptes pour lesquels l'attribut utilisé par la délégation contrainte (msDS-AllowedToDelegateTo) fait référence à un nom de principal de service (SPN) qui n'existe pas.
-
Un nouveau motif détecte la configuration actuelle de la délégation Kerberos sur un compte Microsoft Entra Connect (AZUREADSSOACC).
-
-
Groupe principal de comptes utilisateur — Un motif supplémentaire signale tous les comptes dont l'attribut primaryGroupID apparaît vide en raison de droits insuffisants.
Comptes dotés de mots de passe sans date d'expiration — Ajout d'un nouveau motif pour faire la distinction entre les utilisateurs avec privilèges et ceux qui n'en ont pas.
Principaux de sécurité en conflit — Un nouvel IoE s'assure de l'absence de duplication (conflit) d'objets tels que des utilisateurs, des ordinateurs ou des groupes.
Compte Utilisateur utilisant un mot de passe trop ancien, Ordinateurs exécutant un système d'exploitation obsolète et Comptes dormants — Ajout de deux nouveaux motifs pour faire la distinction entre les utilisateurs avec privilèges et ceux qui ne le sont pas.
Domaine sans GPO de durcissement
Nouvelles vérifications garantissant que les sessions null sont explicitement désactivées sur tous les ordinateurs du domaine.
Nouvelles vérifications liées aux chemins UNC durcis configurés pour les contrôleurs de domaine (partages SYSVOL/NETLOGON).
Nouvelles vérifications garantissant que le spouleur d'impression est désactivé sur tous les contrôleurs de domaine.
Application de la signature SMB — Tenable Identity Exposure garantit une application correcte de la signature SMB sur les contrôleurs de domaine et les autres serveurs. Elle valide le paramètre « Stratégie par défaut des contrôleurs de domaine » et vérifie si la configuration GPO des autres serveurs est correcte.
Correctifs
La version 3.77.3 de Tenable Identity Exposure contient les correctifs suivants :
| Correctif |
|---|
| L'option « Liste blanche d'utilisateurs » dans l'indicateur d'exposition « Groupe Protected Users non utilisé » permet désormais d'autoriser les utilisateurs à l'aide du UserPrincipalName (UPN), du SID et du sAMAccountName, et non plus à l'aide de la méthode précédente qui consistait à utiliser uniquement le nom distinctif. |
| L'observateur des indicateurs d'attaque prend désormais en charge le codage non ASCII. |
| Tenable Identity Exposure ne déclenche pas la déviance « Stratégies de mots de passe faibles appliquées aux utilisateurs » pour les ordinateurs situés dans un conteneur autorisé (configuré dans le profil). |
| Tenable Identity Exposure affiche un message d'avertissement vous conseillant de prendre un instantané du système avant d'effectuer la mise à niveau. |
| Tenable Identity Exposure a amélioré le processus d'annulation en supprimant les éléments résiduels. |
| Tenable Identity Exposure a résolu l'affichage de l'indicateur d'exposition lors de la visualisation des détails de profils en lecture seule. |
| Envoy donne désormais la priorité au processus de résolution par IPv4 avant de revenir à IPv6, corrigeant ainsi la configuration actuelle qui applique l'ordre inverse. |
|
Possibilité de sécuriser le cookie de session de connexion pour que l'envoi de cookies de session ne se fasse que sur HTTPS, afin d'améliorer la sécurité de l'application web. |
| La tâche planifiée Secure Relay a désormais le paramètre valide -AfadRolePath. Pendant une mise à niveau, Tenable Identity Exposure supprime et recrée les tâches planifiées. |
| Tenable Identity Exposure assure désormais une construction réussie du graphe des assets Tier 0. |
| Le service d'analyse de sécurité traite ses entrées pendant les pics d'utilisation du processeur (par exemple pendant les vérifications de sécurité). |
| Tenable Identity Exposure affiche une description de réussite lorsque des problèmes de vérification de l'état du système présentent un statut inconnu. |
| Tenable Identity Exposure analyse correctement les attributs d'approbation (même lorsqu'ils sont manquants dans de rares scénarios) pour afficher la vue topologique sans problèmes. |
| Le problème de blocage des indicateurs d'attaque (IoA) ne se produit plus sur la machine hébergeant le service d'analyse de sécurité. |
| La vérification de l'état du service Collecteur de données AD est désormais signalée comme vraie. |
| L'IoE « Stratégies de mots de passe faibles appliquées » aux utilisateurs a été amélioré pour mieux gérer les cas extrêmes liés aux limites des options. |
| Le programme d'installation de Secure Relay ne se déclenche plus après la mise à niveau et le redémarrage de Directory Listener. |
| Tenable Identity Exposure empêche désormais le Secure Relay d'envoyer à plusieurs reprises des résultats de requête LDAP qui ne sont plus requis par le service d'analyse de la sécurité. |
| L'IoA DCSync prend désormais en compte le cas extrême où le « samAccountName » du compte de service Tenable dépasse 20 caractères, garantissant que les alertes ne se déclenchent pas lorsque la fonction « Analyse privilégiée » est activée. |
| Lorsque vous utilisez le programme d'installation dans une version localisée, un message d'erreur apparaît en anglais lors du chargement de certificats non valides. |
| L'IoE « Comptes utilisateurs AD privilégiés synchronisés avec Microsoft Entra ID » ne nécessite plus l'option « Mettre des ordinateurs sur liste blanche ». |
| L'option « Intervalle de temps pour la détection » de l'IoA « Attaque de mot de passe par force brute » affiche désormais la bonne étiquette. |
| L'interface utilisateur Tenable Identity Exposure ne se charge plus deux fois lors de l'accès à l'URL de base de l'environnement Tenable Identity Exposure. |
| Tenable Identity Exposure a mis à jour le comportement des autorisations liées aux pages Indicateurs d'exposition. |
| Tenable Identity Exposure parvient mieux à empêcher les requêtes SQL de s'exécuter indéfiniment sur les petites plateformes SaaS, ce qui fiabilise l'accessibilité de la base de données. |
| Tenable Identity Exposure affiche désormais tous les IoE Entra ID sur le volet IoE. |
| Tenable Identity Exposure a corrigé les faux positifs causés par l'indicateur d'attaque « Pulvérisation de mot de passe » (et potentiellement d'autres IoA). |
| Pour certains cas extrêmes, Tenable Identity Exposure a mis à jour le processus d'installation de Secure Relay pour les machines jointes à un domaine : les clients utilisant un compte d'administrateur de domaine reçoivent désormais une invite leur demandant d'utiliser un compte d'administrateur local à la place. |
| Tenable Identity Exposure a introduit un mécanisme au démarrage du Relay pour effectuer une vérification du réseau entre le Relay et la plateforme. Si la plateforme n'est pas encore opérationnelle, le processus de démarrage du Relay attend pour assurer une connexion stable avant de continuer. |
| Si vous disposez d'une licence Tenable One, la création de l'utilisateur a lieu dans Tenable Vulnerability Management et est propagée à Tenable Identity Exposure. Dans ce cas, lorsque vous cliquez sur le bouton « Créer un utilisateur » dans Tenable Identity Exposure, un message apparaît pour vous diriger vers Tenable Vulnerability Management afin de créer des utilisateurs. |
| Le programme d'installation de Tenable Identity Exposure fonctionne désormais correctement pour les versions localisées. |
| Tenable Identity Exposure désinstalle l'ancienne version de .NET lors d'une mise à niveau majeure. |
| Tenable Identity Exposure a résolu un problème de journalisation dans l'IoA « Extraction NTDS », de manière à ce qu'il fonctionne correctement dans tous les scénarios. |
| L'IoA « Attaque de mot de passe par force brute » a été mise à jour et propose désormais une nouvelle option « Intervalle de temps pour la détection », qui faisait précédemment référence à l'IoA « Pulvérisation de mot de passe » à tort. |
| Optimisation de l'IoA « Golden Ticket » pour éliminer les pauses occasionnelles dans l'analyse des IoA et IoE, qui duraient auparavant une heure ou plus. |
| L'algorithme de détection amélioré dans l'IoA « Golden Ticket » produit moins de faux négatifs et de faux positifs. |
| Tenable Identity Exposure parvient mieux à empêcher les requêtes SQL de s'exécuter indéfiniment sur les petites plateformes, ce qui fiabilise l'accessibilité de la base de données. |
| Le terminal d'API publique /export/profile/:profileId/checkers/:checkerId fonctionne désormais correctement sans options. |
| Les fichiers journaux MSI sont disponibles dans C:\Tenable\Logs après une installation ou une mise à niveau. |
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|---|
| Tenable Identity Exposure | 3.42.20 | 3.59.8 | 3.77.3 |
| C++ 2015-2019 Redistribuable | 14.38.33135.0 | 14.38.33135.0 | 14.38.33135.0 |
| Pack d'hébergement .NET sur Windows Server | 6.0.35 | 6.0.35 | 8.0.10.24468 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 | 3.0.5311 |
| NodeJS | 18.20.4 | 20.18.0 | 20.18.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.4 | 26.2.5.4 |
| RabbitMQ | 3.12.14 | 3.12.4 | 3.12.14 |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 1.1t | 3.2.0 | 3.3.2 |
| Envoy | -- | 1.29.9 | 1.29.9 |
| Handle | 5.0.0 | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.10.1 | 8.10.1 |
Tenable Identity Exposure 3.59.8 (2024-10-23)
Correctifs
La version 3.59.8 de Tenable Identity Exposure contient les correctifs suivants :
| Correctif |
|---|
| La tâche planifiée Secure Relay a désormais le paramètre valide -AfadRolePath. Pendant une mise à niveau, Tenable Identity Exposure supprime et recrée les tâches planifiées. |
| Tenable Identity Exposure a ramené RabbitMQ à une version plus stable. |
| Dans les versions localisées du programme d'installation de Tenable Identity Exposure, les chargements de certificats non valides déclenchent un message d'erreur en anglais. |
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|
| Tenable Identity Exposure | 3.59.7 | 3.59.8 |
| C++ 2015-2019 Redistribuable | 14.40.33810.0 | 14.38.33135.0 |
| Pack d'hébergement .NET sur Windows Server | 6.0.32 | 6.0.35 |
| Runtime .NET | 6.0.32 | 6.0.35 |
| .Net Core | 6.0.32 | 6.0.35 |
| ASP.NET Core | 6.0.32 | 6.0.35 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.14.0 | 20.18.0 |
| Erlang OTP | 26.2.5.2 | 26.2.5.4 |
| RabbitMQ | 3.13.6 | 3.12.4 |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 3.3.0 | 3.3.2 |
| Envoy | 1.29.5 | 1.29.9 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.9.1 | 8.10.1 |
Tenable Identity Exposure 3.42.20 (2024-10-23)
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|
| Tenable Identity Exposure | 3.42.19 | 3.42.20 |
| C++ 2015-2019 Redistribuable | 14.40.33810.0 | 14.38.33135.0 |
| Pack d'hébergement .NET sur Windows Server | 6.0.32 | 6.0.35 |
| Runtime .NET | 6.0.32 | 6.0.35 |
| .Net Core | 6.0.32 | 6.0.35 |
| ASP.NET Core | 6.0.32 | 6.0.35 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 18.20.3 | 18.20.4 |
| Erlang OTP | 26.2.5.2 | 26.2.5.4 |
| MSSQL | 15.0.4385.2 | 15.0.4385.2 |
| RabbitMQ | 3.12.14 | 3.12.14 |
| OpenSSL (inchangé) | 1.1.1t | 1.1.1t |
| SysInternals Handle | 5.0.0 | 5.0.0 |
| cUrl | 8.91 | 8.10.1 |
Tenable Identity Exposure 3.59.7 (2024-08-14)
Correctifs
La version 3.59.7 de Tenable Identity Exposure contient les correctifs suivants :
| Correctif |
|---|
| Désormais, lorsque le proxy change sur le serveur Windows, les composants .NET ferment leur connexion, puis la rouvrent au lieu de se déconnecter. |
| Les cas spécifiques caractérisés par des pics du nombre de threads entre le Directory Listener et le Relay n'entraînent plus de perte de connectivité entre ces deux services. |
| L'écouteur de registre est désormais capable de lire les samaccountname de compte qui contiennent un espace. |
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|
| Tenable Identity Exposure | 3.59.6 | 3.59.7 |
| C++ 2015-2019 Redistribuable | 14.40.33810.0 | 14.40.33810.0 |
| Pack d'hébergement .NET sur Windows Server | 6.0.32 | 6.0.32 |
| Runtime .NET | 6.0.32 | 6.0.32 |
| .Net Core | 6.0.32 | 6.0.32 |
| ASP.NET Core | 6.0.32 | 6.0.32 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.14.0 | 20.14.0 |
| Erlang OTP | 26.2.5.2 | 26.2.5.2 |
| RabbitMQ | 3.13.6 | 3.13.6 |
| SQL Server | 15.0.4375.4 | 15.0.4385.2 |
| OpenSSL | 3.3.0 | 3.3.0 |
| Envoy | 1.29.5 | 1.29.5 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.7.1 | 8.9.1 |
Tenable Identity Exposure 3.42.19 (2024-08-14)
Correctifs
La version 3.42.19 de Tenable Identity Exposure contient les correctifs suivants :
| Correctif |
|---|
| Tenable Identity Exposure a renforcé le moteur de requête Trail Flow contre les attaques par injection SQL, réduisant considérablement le risque que des utilisateurs l'exploitent pour vider la base de données. |
| La remédiation de la déviance pour l'IoE Comptes utilisant un contrôle d'accès compatible pré-Windows 2000 apparaît désormais correctement. |
|
Indicateur d'attaque Dumping des informations d'authentification : mémoire LSASS — Une modification de la corrélation du nom du processus dans le vecteur d'attaque de cet IoA réduit le nombre d'inconnues. |
| Un nouveau mécanisme garantit que la base de données résiste à de trop nombreuses modifications de l'attribut badPwdCount. Dans certains cas extrêmes, le service responsable de la gestion du taux d'événements liés au nombre de mots de passe erronés pouvait se déconnecter du gestionnaire de files d'attente de messages, entraînant des interruptions dans la gestion des événements. |
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|
| Tenable Identity Exposure | 3.42.18 | 3.42.19 |
| cUrl | 8.4.0 | 8.91 |
| SysInternals Handle | 5.0 | 5.0.0 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
|
Runtime .net |
6.0.28 6.0.28 |
6.0.32 6.0.32 |
| NodeJS | 18.19.1 | 18.20.3 |
| MSSQL | 15.0.4355.3 | 15.0.4385.2 |
| RabbitMQ | 3.12.13 | 3.12.14 |
| Erlang OTP | 26.2.3 | 26.2.5.2 |
| OpenSSL (inchangé) | 1.1.1t | 1.1.1t |
| C++ 2105-2022 Redistribuable (inchangé) | 14.38.33130.0 | 14.40.33810.0 |
| ASP.NET Core | 6.0.28 | 6.0.32 |
Tenable Identity Exposure 3.59.6 (2024-08-05)
Correctifs
La version 3.59.6 de Tenable Identity Exposure contient les correctifs suivants :
| Correctif |
|---|
| Le programme d'installation de Secure Relay vérifie maintenant si l'utilisateur actuel est un administrateur local. |
| Lors de l'installation du Secure Relay sur une machine jointe à un domaine à l'aide d'un compte d'administrateur de domaine, un message contextuel apparaît pour vous demander d'utiliser un compte d'administrateur local. |
| Les changements de proxy sur la machine hébergeant le service d'analyse de sécurité (Cygni) ne créent plus de blocage. |
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|
| Tenable Identity Exposure | 3.59.5 | 3.59.6 |
| C++ 2015-2019 Redistribuable | 14.40.33810.0 | 14.40.33810.0 |
| Pack d'hébergement .NET sur Windows Server | 6.0.31 | 6.0.32 |
| Runtime .NET | 6.0.31 | 6.0.32 |
| .Net Core | 6.0.31 | 6.0.32 |
| ASP.NET Core | 6.0.31 | 6.0.32 |
| IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.14.0 | 20.14.0 |
| Erlang OTP | 26.2.5 | 26.2.5.2 |
| RabbitMQ | 3.13.3 | 3.13.6 |
| SQL Server | 15.0.4375.4 | 15.0.4375.4 |
| OpenSSL | 3.3.0 | 3.3.0 |
| Envoy | 1.29.5 | 1.29.5 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.7.1 | 8.7.1 |
Tenable Identity Exposure 3.59.5 (2024-07-02)
Amélioration
-
Prise en charge d'OpenSSL 3.0 — Cette version met à niveau OpenSSL vers la version 3.0.x. Par conséquent, les certificats X.509 signés avec SHA1 ne fonctionnent plus au niveau de sécurité 1 ou supérieur. TLS est par défaut au niveau de sécurité 1, ce qui rend les certificats signés SHA1 non fiables pour authentifier des serveurs ou des clients.
Vous devez mettre à niveau vos certificats en réponse à ce changement. Si vous continuez l'installation sans mettre à jour vos certificats pour utiliser OpenSSL 3.0, le programme d'installation Tenable Identity Exposure retourne les messages d'erreur suivants avec les correctifs recommandés :
-
Reportez-vous aux notes de version d'OpenSSL 3.0 pour plus d'informations.
-
Pour effectuer la mise à niveau vers la version 3.59.5, voir les conditions et procédures de mise à niveau dans le guide de l'utilisateur Tenable Identity Exposure.
Correctifs
La version 3.59.5 de Tenable Identity Exposure contient les correctifs suivants :
| Correctif |
|---|
| Les certificats Tenable générés par SAML utilisent désormais une taille de clé de 4 096 bits avec un chiffrement SHA-256 (anciennement 1 024 bits). |
| Mise en place d'un mécanisme de sécurité pour résoudre le problème posé par la possibilité d'énumérer les utilisateurs pendant les verrouillages de compte. |
| Mise à jour de la liste des suites de chiffrement TLS pour garantir la compatibilité avec le gestionnaire de mises à jour Azure ARC pour Windows Server 2022. |
| L'installation de Secure Relay peut désormais se poursuivre après une mise à niveau infructueuse de Tenable Identity Exposure. |
| La remédiation de la déviance pour l'indicateur d'exposition Comptes utilisant un contrôle d'accès compatible pré-Windows 2000 apparaît désormais correctement. |
| Le Relay assure désormais une livraison fiable des messages Syslog sur les réseaux avec latence. |
| Une modification de la corrélation du nom du processus dans le vecteur d'attaque de l'indicateur d'attaque Dumping des informations d'authentification : mémoire LSASS réduit le nombre d'inconnues. |
| Un nouveau mécanisme garantit que la base de données résiste à de trop nombreuses modifications de l'attribut badPwdCount. Dans certains cas extrêmes, le service responsable de la gestion du taux d'événements liés au nombre de mots de passe erronés pouvait se déconnecter du gestionnaire de files d'attente de messages, entraînant des interruptions dans la gestion des événements. |
| L'application web prend désormais en charge le chargement d'un certificat d'une CA ECC pour la validation des connexions TLS, dont l'authentification LDAP, le SMTPS, etc. |
| Les journaux d'activité ne signalent plus l'activité des services internes. |
| La résilience à l'annulation après un échec de mise à niveau a été renforcée : désormais, les variables d'environnement restent inchangées. |
| Améliorations des messages d'erreur pour fournir des conseils plus clairs lorsque le programme d'installation échoue pendant le test de communication entre le Relay et la plateforme. |
| Installation du service Secure Relay : l'écran « Configuration du proxy » affiche des cases modifiables vides pour éviter une éventuelle annulation par défaut. |
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|
| Tenable Identity Exposure | 3.59.4 | 3.59.5 |
| C++ 2015-2019 Redistribuable | 14.24.28127.4 | 14.40.33810.0 |
| Pack d'hébergement .NET sur Windows Server | 6.0.27 | 6.0.31 |
| Runtime .NET | 6.0.27 | 6.0.31 |
| ASP.NET Core | 6.0.27 | 6.0.31 |
| IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.05311 | 3.0.5311 |
| NodeJS | 18.19.0 | 20.14.0 |
| Erlang OTP | 26.2.2 | 26.2.5 |
| RabbitMQ | 3.12.12 | 3.13.3 |
| SQL Server | 15.0.4335.1 | 15.0.4375.4 |
| OpenSSL | 1.1.1t | 3.3.0 |
| Envoy | 1.29.4 | 1.29.5 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.4 | 8.7.1 |
Tenable Identity Exposure 3.59.4 (2024-02-20)
Nouvelles fonctionnalités
- Secure Relay — Introduction d'un nouveau mode de transfert de vos données Active Directory depuis votre réseau vers Tenable Identity Exposure à l'aide du protocole TLS (Transport Layer Security) au lieu du protocole AMQP (Advanced Message Queuing Protocol). Pour plus d'informations, voir Upgrade to Use Secure Relay (Mettre à niveau pour utiliser Secure Relay) dans le Guide d'installation et Configurer le Relay dans le Guide de l'administrateur.
Alertes et authentification — Le Secure Relay prend en charge les alertes Syslog et SMTP. Pour plus d'informations, voir Secure Relay dans le guide de l'administrateur de Tenable Identity Exposure.
Authentification — Vous pouvez configurer l'authentification LDAP en sélectionnant un Secure Relay. Ce Relay joint votre serveur LDAP pour authentifier l'utilisateur.
Alertes — La fonction d'alerte Syslog et SMTP peut envoyer des alertes à des serveurs privés via un Secure Relay. Lors de la création d'une alerte, la plateforme de Secure Relay vous demande de sélectionner un Relay. Vous pouvez configurer des Relays et les utiliser pour la surveillance ou l'alerte de domaine, ou les deux.
Si vous utilisez Secure Relay et si des alertes existent, la mise à jour 3.45 de Tenable Identity Exposure leur attribue automatiquement un Relay pour la continuité du service. Vous pouvez modifier ce Relay pour des raisons liées à vos règles de réseau Relay-VM ou à vos préférences.
Prise en charge de l'authentification de base et du proxy HTTP non authentifié — La fonction Relay prend également en charge le proxy HTTP avec une authentification de base ou sans authentification si votre réseau nécessite un serveur proxy pour atteindre le serveur Directory Listener. Pour plus d'informations, voir Secure Relay dans le guide de l'administrateur de Tenable Identity Exposure.
- Assistance d'Entra ID — Cette fonctionnalité étend la portée de Tenable Identity Exposure à Microsoft Entra ID (anciennement Azure AD) en plus d'Active Directory. Voici les nouveaux indicateurs d'exposition (IoE) centrés sur Entra ID et désormais disponibles pour identifier les vulnérabilités au sein d'Entra ID :
Porte dérobée de domaine fédéré connue — Un tenant Microsoft Entra peut mettre en place un processus de fédération avec un domaine externe pour établir une relation d'approbation avec un autre domaine à des fins d'authentification et d'autorisation. Les organisations utilisent la fédération pour déléguer l'authentification des utilisateurs Active Directory à leurs services de fédération Active Directory sur site (AD FS). (Remarque : le domaine externe n'est pas un « domaine » Active Directory). Mais si des acteurs malveillants obtiennent des privilèges élevés dans Microsoft Entra ID, ils peuvent exploiter ce mécanisme de fédération pour créer une porte dérobée en ajoutant leur propre domaine fédéré ou en modifiant un domaine existant pour ajouter une configuration secondaire avec leurs propres paramètres.
Principal de service propriétaire (ou interne) avec identifiants — Les principaux de service propriétaires/internes (applications d'entreprise) proviennent d'applications (inscription d'applications) qui appartiennent à Microsoft. La plupart d'entre eux disposent d'autorisations sensibles dans Microsoft Entra ID que vous ignorez généralement lors des vérifications de sécurité. Des attaquants peuvent donc y ajouter des identifiants pour exploiter discrètement leurs privilèges.
Compte Entra privilégié synchronisé avec AD (Hybride) — Vérifie les comptes hybrides, en particulier ceux synchronisés à partir d'Active Directory qui ont des rôles privilégiés dans Entra ID. Ces comptes posent un risque de sécurité, car ils permettent aux attaquants qui compromettent AD de basculer vers Entra ID. Dans Entra ID, les comptes privilégiés doivent être des comptes « cloud seulement ».
Autorisations d'API dangereuses affectant le tenant — Certaines autorisations sur certaines API Microsoft peuvent représenter une grave menace pour l'ensemble du tenant Microsoft Entra ID, car un principal de service qui dispose de ces autorisations devient puissant, tout en étant plus discret qu'un utilisateur disposant d'un rôle d'administrateur puissant tel que l'Administrateur général. En exploitant ces autorisations, un attaquant peut contourner l'authentification multifacteur (MFA) et résister aux réinitialisations de mot de passe des utilisateurs.
Authentification MFA manquante pour un compte privilégié — L'authentification multifacteur (MFA) protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier. Cet IoE signale les comptes privilégiés qui ne disposent pas de méthode MFA enregistrée et vous informe si vous appliquez l'authentification MFA sans avoir enregistré de méthode. En effet, ce cas de figure peut permettre à des attaquants disposant d'un mot de passe d'enregistrer leurs propres méthodes MFA et de créer un risque de sécurité.
Authentification MFA manquante pour un compte non privilégié — L'authentification multifacteur (MFA) protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier. Cet IoE signale les comptes non privilégiés qui ne disposent pas de méthode MFA enregistrée et vous informe si vous appliquez l'authentification MFA sans avoir enregistré de méthode. En effet, ce cas de figure peut permettre à des attaquants disposant d'un mot de passe d'enregistrer leurs propres méthodes MFA et de créer un risque de sécurité.
Nombre d'administrateurs élevé — Les administrateurs disposent par définition de privilèges élevés. Ils peuvent poser des risques de sécurité lorsqu'il en existe un grand nombre, car cela augmente la surface d'attaque. En outre, le risque que l'un d'entre eux soit compromis est plus élevé. C'est aussi le signe que le principe du moindre privilège n'est pas respecté.
- Nouveaux indicateurs d'attaque (IoA)
-
Changement de mot de passe DC — Lié à Zerologon, cet IoA se concentre sur une activité post-exploitation spécifique que les attaquants utilisent couramment en conjonction avec la vulnérabilité Netlogon : la modification du mot de passe du compte de la machine du contrôleur de domaine. Pour plus d'informations, voir le Guide de référence des IoA Tenable Identity Exposure (en anglais).
-
Zerologon — Détecte un échec dans le processus d'authentification Netlogon qui indique que des attaquants tentent d'exploiter la vulnérabilité Zerologon pour obtenir des privilèges concernant le domaine. Pour plus d'informations, voir le Guide de référence des IoA Tenable Identity Exposure (en anglais).
-
Extraction de clé de sauvegarde de domaine — Détecte de nombreux outils d'attaque différents qui utilisent des appels LSA RPC pour accéder aux clés de sauvegarde. Pour plus d'informations, voir le Guide de référence des IoA Tenable Identity Exposure (en anglais).
-
-
Indicateurs d'exposition (IoE)
-
Nouveaux IoE :
-
Autoriser les mises à jour dynamiques DNS non sécurisées – Identifie la configuration non sécurisée des mises à jour des zones DNS dynamiques ; cette configuration peut conduire à une modification non authentifiée des enregistrements DNS, les rendant vulnérables aux enregistrements DNS malveillants.
-
Intégrité des property sets — Recherche la présence d'une mauvaise configuration ou d'une porte dérobée provenant d'acteurs malveillants dans les property sets et leurs attributs dans le schéma AD. Bien qu'aucun vecteur d'attaque public connu ne soit actuellement associé à l'utilisation des Property Sets, cet IoE se concentre principalement sur l'identification des mauvaises configurations ou des particularités des produits tiers qui utilisent cette fonctionnalité.
-
Paramétrages dangereux sur des serveurs WSUS — Vérifie que les Windows Server Update Services (WSUS), un produit Microsoft utilisé pour déployer les mises à jour Windows des postes de travail et des serveurs, ne contiennent pas d'erreurs de configuration pouvant entraîner une élévation de privilèges à partir de simples comptes.
-
Faiblesses détectées lors de l'analyse des mots de passe — Vérifie la robustesse des mots de passe afin de garantir la sécurité de l'authentification Active Directory. La faiblesse des mots de passe peut être liée à différents facteurs : complexité insuffisante, algorithmes de hachage obsolètes, mots de passe partagés et exposition dans des bases de données ayant été divulguées. Les attaquants exploitent ces faiblesses pour imiter les comptes, en particulier les comptes privilégiés, afin d'obtenir un accès non autorisé dans Active Directory.
-
Mauvaise configuration DFS — Vérifie que SYSVOL utilise la réplication de système de fichiers distribué (DFSR), un mécanisme qui a remplacé le service de réplication de fichier (FRS) pour davantage de robustesse, d'évolutivité et de performance.
-
Exclusions d'objets déviants :Tenable Identity Exposure permet de définir des exclusions pour les objets déviants dans certains IoE, notamment :
-
Groupe : Restrictions de connexion pour les utilisateurs privilégiés
-
Système d'exploitation : Ordinateurs exécutant un système d'exploitation obsolète
-
Unité d'organisation : Restrictions de connexion pour les utilisateurs privilégiés, Ordinateurs exécutant un système d'exploitation obsolète, Application de stratégies de mot de passe faible sur les utilisateurs, Comptes dormants, Compte d'utilisateur utilisant un ancien mot de passe
-
-
Analyse des IoE — Les utilisateurs sur site peuvent désormais désactiver l'analyse des IoE sur le profil de sécurité Tenable par défaut, afin de réduire l'utilisation des ressources et la latence dans l'analyse de la sécurité. Pour utiliser cette option, définissez la variable d'environnement ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile du Security Engine Node (SEN) sur vrai et redémarrez le service Cygni.
-
-
Centre de rapports — Cette fonctionnalité permet d'exporter des données importantes sous forme de rapports à l'intention des principales parties prenantes d'une organisation à l'aide d'un processus de création de rapports rationalisé. Pour plus d'informations, voir Reporting Center (Centre de rapports) dans le guide de l'administrateur de Tenable Identity Exposure.
-
Modèles de dashboard — Des modèles prêts à l'emploi vous aident à vous concentrer sur les problèmes prioritaires qui concernent votre organisation, tels que la conformité, le risque, la gestion des mots de passe et la surveillance des utilisateurs/administrateurs. Pour plus d'informations, voir Dashboards dans le Guide de l'utilisateur Tenable Identity Exposure.
-
Capacités de vérification de l'état de la plateforme — Tenable Identity Exposure établit une liste des vérifications de l'état de la plateforme effectuées dans une vue consolidée pour vous permettre d'explorer et résoudre rapidement les anomalies de configuration. Pour plus d'informations, voir Vérifications de l'état du système dans le guide de l'administrateur de Tenable Identity Exposure.
- Intégration — Pour une sécurité renforcée, le processus d'intégration exige désormais que les utilisateurs modifient les identifiants par défaut fournis pour la connexion initiale lorsqu'ils se connectent pour la première fois. Tenable Identity Exposure a également amélioré les règles pour obtenir un nouveau mot de passe.
-
Évolutivité — Tenable Identity Exposure a amélioré les performances des indicateurs d'attaque côté service afin de gérer les événements d'intérêt à plus grande échelle pour une meilleure précision et latence des indicateurs d'attaque. Pour plus d'informations, voir Scale Tenable Identity Exposure Services (Évolution des services Tenable Identity Exposure) dans le Guide d'installation Tenable Identity Exposure.
-
Trail Flow
-
Tenable Identity Exposure reçoit rapidement des événements d'Active Directory dès que des modifications surviennent. Cependant, pour les changements à haute fréquence dans les grands groupes, il applique un délai de 10 minutes pour agréger les événements avant de notifier le reste du système, évitant ainsi des problèmes de performances.
-
Il est désormais possible de filtrer les événements de Trail Flow par date et heure.
-
Correctifs
La version 3.59.4 de Tenable Identity Exposure contient tous les correctifs depuis la version 3.42.
Dépendances logicielles mises à jour
La version 3.59.4 sur site de Tenable Identity Exposure offre des améliorations significatives pour protéger votre infrastructure Active Directory. Cette version inclut des mises à jour de certaines dépendances afin de donner la priorité à la sécurité logicielle et garantir que les composants sont à jour pour une meilleure protection. Les composants sont :
-
Storage Manager (SM)
-
Security Engine Node (SEN)
-
Directory Listener (DL)
| Nom du logiciel | Composant | Version avant mise à niveau | Version après mise à niveau |
|---|---|---|---|
| Tenable Identity Exposure | 3.42 | 3.59 | |
| C++ 2015-2019 Redistribuable | Tous (inchangé) | 14.24.28127.4 | 14.24.28127.4 |
| Pack d'hébergement .NET sur Windows Server | SEN, DL | 6.0.22.23424 | 6.0.27 |
| Runtime .NET | SEN, DL | 6.0.22.32824 | 6.0.27 |
| ASP.NET Core | SEN, DL | 6.0.22.23424 | 6.0.27 |
| IIS URL Rewrite Module 2 | SEN (inchangé) | 7.2.1993 | 7.21993 |
| Application Request Routing 3.0 | SEN (inchangé) | 3.0.05311 | 3.0.05311 |
| NodeJS | SM, SEN | 18.18.0 | 18.19.0 |
| Erlang OTP | SEN | 26.1.1 | 26.2.2 |
| RabbitMQ |
SEN |
3.12.6 | 3.12.12 |
| SQL Server | SM | 15.0.4322.2 | 15.0.4335.1 |
Tenable Identity Exposure 3.42.18 (2024-04-18)
Voir les Notes de version Tenable Identity Exposure 3.42 (06-04-2023) sur site pour la liste complète des nouvelles fonctionnalités et des correctifs.
Correctifs 3.42.18 (18-04-2024)
La version 3.42.18 de Tenable Identity Exposure corrige les bugs suivants :
| Correctif | ID de défaut |
|---|---|
| Les certificats Tenable générés par SAML utilisent désormais une clé SHA256 robuste de taille 4096, ce qui constitue une amélioration par rapport à la précédente taille de 1024. | N/A |
|
Améliorations du chemin d'attaque :
|
N/A |
| Tenable Identity Exposure actualise désormais correctement les certificats CA après une mise à jour de la configuration d'une alerte Syslog. | N/A |
| Tenable Identity Exposure applique désormais la neutralisation des éléments de formule dans un fichier CSV, une procédure communément appelée injection CSV. | N/A |
| Quand Tenable Identity Exposure analyse un événement 4776 sans nom d'hôte, produisant une source « Inconnue », il le filtre désormais correctement en fonction de l'option « Autoriser une source inconnue » de l'indicateur d'attaque « Attaque de mot de passe par force brute ». | N/A |
|
Améliorations des indicateurs d'attaque DCSync :
|
N/A |
| L'observateur d'événements des indicateurs d'attaque peut à nouveau fonctionner sur les versions de Windows Server antérieures à 2016. | N/A |
| Un nouveau mécanisme garantit que la base de données résiste aux nombreuses modifications d'attributs badPwdCount. | N/A |
Dépendances logicielles mises à jour
La version 3.42.11 sur site de Tenable Identity Exposure offre des améliorations significatives pour protéger votre infrastructure Active Directory. Cette version inclut des mises à jour de certaines dépendances afin de donner la priorité à la sécurité logicielle et garantir que les composants sont à jour pour une meilleure protection.
| Tenable Identity Exposure | Version 3.42.3 | Version 3.42.11 | Version 3.42.17 | Version 3.42.18 | |
|---|---|---|---|---|---|
| Nom du logiciel | Nom du fichier | Version | Version | Version | Version |
| cUrl | curl.exe | 7.66.0 | 8.0.1 | 8.4.0 | 8.4.0 |
| SysInternals Handle | handle.exe | 4.22.0 | 5.0.0 | 5.0 | 5.0 |
| IIS URL Rewrite Module 2 | rewrite_amd64_en-US.msi | 7.2.1980 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
|
Runtime .net |
dotnet-hosting-6.0.14-win.exe | 6.0.14 | 6.0.16 |
6.0.22.32824 |
6.0.28 |
| NodeJS | node-x64.msi | 16.19.1 | 16.20.0 | 18.18.0 | 18.19.1 |
| MSSQL | setup.exe | 2019.150.2000.5 | 2019.150.4312.2 | 15.0.4322.2 | 15.0.4355.3 |
| RabbitMQ | rabbitmq-server.exe | 3.10.11 | 3.10.19 | 3.12.6 | 3.12.13 |
| Erlang OTP | otp_win64.exe | 25.1.2 | 25.1.2 | 26.1.1 | 26.2.3 |
| C++ 2105-2022 Redistribuable (inchangé) | vcredist_2015_x64.exe | 14.24.28127.4 | 14.24.28127.4 | 14.24.28127.4 | 14.38.33130.0 |
| ASP.NET Core | dotnet-hosting-win.exe | 6.0.14 | 6.0.16 | 6.0.22.23424 | 6.0.28 |