Vulnerabilidad de sobrescritura de la política de seguridad de Dell Encryption y Dell Endpoint Security Suite Enterprise

Productos afectados:

• Dell Encryption Enterprise: versión 8.4.0 a 10.0
• Dell Endpoint Security Suite Enterprise: v1.0.0 a 2.0

Detalles:

Identificador CVE: CVE-2018-15766

Gravedad: Medio

Nota: Para obtener más información sobre los identificadores CVE, consulte https://www.cvedetails.com/cve-help.php .

Al instalar, las versiones de Dell Encryption anteriores a 10.0.1 y las versiones de Dell Endpoint Security Suite Enterprise anteriores a 2.0.1 sobrescriben y establecen manualmente el objeto de política de grupo Longitud mínima de contraseña en un valor de 1 en ese dispositivo. Esto permite a los usuarios omitir cualquier política existente para la longitud de la contraseña y crear una contraseña insegura en su dispositivo.

Este valor se define durante la instalación de la aplicación Encryption Management Agent o EMAgent. No hay otros valores conocidos que se modifiquen.

Las siguientes versiones de Dell Data Security contienen soluciones para esta vulnerabilidad:

• Dell Encryption versión 10.0.1 y superior
• Dell Endpoint Security Suite Enterprise versión 2.0.1 y superior

Los clientes pueden descargar el software Dell Encryption desde https://www.dell.com/support/home/product-support/product/dell-data-protection-encryption/drivers.

El software Dell Endpoint Security Suite Enterprise está disponible para los clientes en sus cuentas de ddpe.credant.com o se puede obtener a través de Dell ProSupport.

Solución alternativa:

Para los dispositivos afectados, la política de longitud mínima de contraseña se debe cambiar manualmente a lo que se desea para el entorno actual.

• Si Dell Endpoint Security Suite Enterprise o Encryption Management Agent de Dell Encryption Enterprise están instalados en una controladora de dominio o en un dispositivo que no está unido a un dominio, se debe cambiar la longitud mínima predeterminada de la contraseña en el dispositivo local.
• Si Dell Endpoint Security Suite Enterprise o Encryption Management Agent de Dell Encryption Enterprise están instalados en un dispositivo unido a un dominio, se debe cambiar la longitud mínima predeterminada de la contraseña en la consola de administración de políticas de grupo de la empresa.

El valor predeterminado para esta propiedad es 7 en la mayoría de las configuraciones.

En este artículo de la base de conocimientos de Microsoft, se describe cómo modificar esta configuración:
https://technet.microsoft.com/en-us/library/dd277399.aspx

Dell Technologies recomienda que todos los usuarios determinen la aplicabilidad de esta información en sus situaciones individuales y tomen las medidas adecuadas. La información se proporciona "tal cual" sin garantías de ningún tipo. Dell renuncia a todas las garantías, ya sean expresas o implícitas, incluidas las garantías de comerciabilidad, idoneidad para un propósito determinado, título y ausencia de infracción. En ningún caso Shell Dell ni sus proveedores serán responsables de ningún daño, incluidos daños directos, indirectos, incidentales, consecuentes, pérdida de ganancias comerciales o daños especiales, incluso si se ha notificado a Dell o a sus proveedores de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños resultantes o accidentales, por lo que la limitación anterior puede no ser aplicable.

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.