Notes de version Tenable Identity Exposure 2025 — Sur site
Conseil : vous pouvez vous abonner pour recevoir des alertes lors des mises à jour de la documentation Tenable.
Ces notes de version sont répertoriées dans l'ordre chronologique inverse.
Tenable Identity Exposure 3.77.11 (2025-04-30)
Tenable a identifié et résolu une vulnérabilité critique (CVE-2025-32433) affectant la mise en œuvre de SSH dans Erlang/OTP. Présente dans la gestion des messages du protocole SSH, cette faille permet à un acteur malveillant d'obtenir un accès non autorisé et de lancer l'exécution de code arbitraire sans informations d'identification valides.
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|
| Tenable Identity Exposure | 3.77.10 | 3.77.11 |
| C++ 2015-2019 Redistribuable | 14.38.33135.0 | 14.38.33135.0 |
| Pack d'hébergement .NET sur Windows Server | 8.0.14.25112 | 8.0.15.25165 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.18.3.0 | 20.19.0 |
| Erlang OTP | 26.2.5.6 | 26.2.5.11 |
| RabbitMQ | 4.0.3 | 4.0.3 |
| SQL Server | 15.0.4430.1 | 15.0.4430.1 |
| OpenSSL | 3.3.2 | 3.5 |
| Envoy | 1.29.12 | 1.29.12 |
| Handle | 5.0 | 5.0 |
| Curl | 8.12.1 | 8.13 |
Tenable Identity Exposure 3.77.10 (2025-03-27)
Correctifs
La version 3.77.10 de Tenable Identity Exposure contient les correctifs suivants :
| Correctifs |
|---|
| Tenable Identity Exposure a corrigé la sévérité de l'indicateur d'attaque (IoA) Usurpation de sAMAccountName, qui est classé comme « Critique » mais a été étiqueté à tort comme « Élevé » dans certaines métadonnées. |
| Tenable Identity Exposure a mis à jour les dates de fin de vie des dernières versions de Windows 11. |
|
Windows Server 2025, sorti en novembre 2024, a introduit un nouveau niveau fonctionnel AD (le premier depuis Server 2016), que l'indicateur d'exposition (IoE) Domaines avec un niveau fonctionnel obsolète prend désormais en compte. Tenable Identity Exposure a également ajouté des informations d'expiration pour Server 2025 à l'IoE Ordinateurs exécutant un système d'exploitation obsolète et a apporté d'autres ajustements mineurs à divers IoE (par exemple, une nouvelle version de schéma). Remarque : cela ne confirme pas la compatibilité de l'hébergement de Tenable Identity Exposure sur Windows Server 2025. Consultez les futures mises à jour de la documentation ou notes de version pour plus de détails sur la compatibilité. |
| Après la suppression d'un objet identifié comme déviant dans l'IoE Restrictions d'authentification des utilisateurs avec privilèges, la déviance associée se referme correctement. |
| Tenable Identity Exposure garantit désormais la bonne suppression du service Envoy lors de la désinstallation du Secure Relay, même s'il est installé avec Directory Listener. |
| Tenable Identity Exposure gère désormais correctement l'événement n° 4624 dans la dernière version de Windows. |
| La désinstallation du Secure Relay ne supprime plus le dossier « Tools » partagé avec le Directory Listener. Lorsque les deux sont installés sur la même machine, le dossier « Tools » reste désormais intact, préservant le fichier binaire nssm. |
| Tenable Identity Exposure a amélioré le processus de désinstallation en ajoutant des sauvegardes pendant les mises à niveau, afin de réduire le nombre d'annulations et d'améliorer la stabilité du système. |
| Tenable Identity Exposure applique désormais correctement le filtrage des motifs sélectionnés lors de la sélection d'objets déviants (le cas échéant). |
| Lorsque la machine d'un attaquant quitte un domaine, l'IoA DCSync peut désormais déclencher des alertes en mode standard. |
| Tenable signe désormais numériquement le script permettant de configurer les indicateurs d'attaque, ce qui évite que des outils de sécurité externes ne le signalent comme risque potentiel en raison de l'absence de signature. |
| Après la mise à niveau, le Directory Listener empêche l'installation d'un autre Secure Relay sur la même machine. |
| Tenable Identity Exposure a amélioré la résilience de l'application grâce à une gestion adéquate des erreurs de canal RabbitMQ lors de la publication de messages. |
| Désormais, la vérification de l'état du système Accessibilité du domaine indique plus précisément le motif de l'inaccessibilité du domaine. |
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|
| Tenable Identity Exposure | 3.77.9 | 3.77.10 |
| C++ 2015-2019 Redistribuable | 14.38.33135.0 | 14.38.33135.0 |
| Pack d'hébergement .NET sur Windows Server | 8.0.12.24603 | 8.0.14.25112 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.18.2.0 | 20.18.3.0 |
| Erlang OTP | 26.2.5.6 | 26.2.5.6 |
| RabbitMQ | 4.0.3 | 4.0.3 |
| SQL Server | 15.0.4415.2 | 15.0.4430.1 |
| OpenSSL | 3.3.2 | 3.3.2 |
| Envoy | 1.29.12 | 1.29.12 |
| Handle | 5.0 | 5.0 |
| Curl | 8.12.0 | 8.12.1 |
Tenable Identity Exposure 3.77.9 (2025-02-20)
Amélioration
-
Tenable Identity Exposure a rationalisé le processus d'annulation (rollback) pour rétablir efficacement l'environnement dans son état précédent, en veillant à ce qu'il ne reste aucun élément résiduel ni aucune incohérence.
Nouvelle condition préalable : assurez-vous que Storage Manager dispose d'au moins 20 Go d'espace disque disponible avant de lancer la procédure d'annulation. Pour plus d'informations, voir Dimensionnement des ressources dans le Guide de l'utilisateur Tenable Identity Exposure.
Correctifs
La version 3.77.9 de Tenable Identity Exposure contient les correctifs suivants :
| Correctifs |
|---|
| Le fichier audit.csv du module de l'écouteur de l'IoA s'installe correctement. |
| Tenable Identity Exposure a amélioré la méthode de récupération de l'emplacement d'installation et fait en sorte que les actions personnalisées Cleanup_* n'entraînent pas l'échec de l'installation ou de la mise à niveau si elles renvoient une erreur. De plus, Tenable Identity Exposure a imposé une exécution non interactive pour les actions personnalisées afin d'éviter les invites de confirmation pendant l'installation. |
| Tenable Identity Exposure a amélioré la résilience de l'application grâce à une gestion adéquate des erreurs de canal RabbitMQ lors de la publication de messages. |
| Tenable Identity Exposure a amélioré les autorisations de liste d'accès du dossier du programme de mise à jour pour empêcher tout accès par des utilisateurs malveillants. |
| Tenable Identity Exposure a résolu un schéma d'autorisation défaillant dans le script et la configuration des indicateurs d'attaque. |
| Tenable Identity Exposure a résolu une vulnérabilité de divulgation d'informations d'authentification afin d'empêcher les administrateurs d'extraire les informations d'authentification de compte SMTP stockées. |
| L'indicateur d'attaque (IoA) « Golden Ticket » déclenche désormais une alerte lorsque l'attaquant utilise un ticket TGT forgé en mode standard. |
| L'indicateur d'exposition (IoE) « Délégation Kerberos dangereuse » comprend désormais tous les attributs incriminants relatifs au SPN orphelin. |
| Tenable Identity Exposure empêche désormais l'enregistrement dans les journaux d'activité des appels non authentifiés avec des services internes, garantissant ainsi des enregistrements de journaux plus clairs et plus précis. |
| Tenable Identity Exposure complète automatiquement l'adresse IP du Security Engine Node (SEN) avec le nom de domaine complet (FQDN) lorsque les certificats du client ne contiennent que des noms DNS. |
| Tenable Identity Exposure a amélioré la vitesse d'analyse des journaux d'événements Windows, empêchant ainsi le produit d'accumuler du retard. Vous devez redéployer les indicateurs d'attaque pour bénéficier de cette modification. |
| Tenable Identity Exposure a rétabli la restauration des variables d'environnement lors de la mise à niveau du Security Engine Node (SEN). |
| Tenable Identity Exposure met désormais fin au processus updater.exe précédent à l'aide d'une tâche planifiée pendant la mise à jour automatique. |
| Le nom Tenable Identity Exposure apparaît correctement dans l'interface utilisateur. |
| L'IoA « Dumping des identifiants système » résout désormais correctement l'adresse IP source, le nom d'hôte source et l'IP cible lorsque l'attaque est déclenchée par NTAUTHORITY\SYSTEM. |
| Tenable Identity Exposure prend désormais en compte la liste des PSO privilégiées des profils de sécurité, résolvant ainsi l'IoE « Stratégies de mots de passe faibles appliquées aux utilisateurs » pour le motif « Aucune PSO privilégiée n'est appliquée sur le domaine » lorsque cette option est configurée. |
| Tenable Identity Exposure a résolu la gestion des options de seuil et de durée de verrouillage dans l'IoE « Stratégies de mots de passe faibles appliquées aux utilisateurs ». Il est désormais possible d'autoriser les déviances lorsque vous définissez leurs valeurs sur 0. |
| La page « Vérification de l'état du système » s'affiche désormais même si l'une des forêts enregistrées contient une barre oblique inverse dans le nom d'utilisateur. |
| Tenable Identity Exposure n'empêche plus l'analyse de réussir si la collecte de données sensibles n'est pas correctement configurée. |
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|
| Tenable Identity Exposure | 3.77.6 | 3.77.9 |
| C++ 2015-2019 Redistribuable | 14.38.33135.0 | 14.38.33135.0 |
| Pack d'hébergement .NET sur Windows Server | 8.0.11.24521 | 8.0.12.24603 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.18.1.0 | 20.18.2.0 |
| Erlang OTP | 26.2.5.5 | 26.2.5.6 |
| RabbitMQ | 4.0.3 | 4.0.3 |
| SQL Server | 15.0.4405.4 | 15.0.4415.2 |
| OpenSSL | 3.3.2 | 3.3.2 |
| Envoy | 1.29.10 | 1.29.12 |
| Handle | 5.0.0 | 5.0 |
| Curl | 8.11.0 | 8.12.0 |