Faille de sécurité de remplacement de la stratégie de sécurité Dell Encryption et Dell Endpoint Security Suite Enterprise

Produits concernés :

• Dell Encryption Enterprise: v8.4.0 à 10.0
• Dell Endpoint Security Suite Enterprise - v1.0.0 à 2.0

Détails :

Identificateur CVE : CVE-2018-15766

Gravité : Moyen

Remarque : Pour plus d’informations sur les identifiants CVE, consultez https://www.cvedetails.com/cve-help.php .

Lors de l’installation, les versions de Dell Encryption antérieures à la version 10.0.1 et les versions 2.0.1 antérieures de Dell Endpoint Security Suite Enterprise remplacent et définissent manuellement l’objet de stratégie de groupe Longueur de mot de passe minimale sur la valeur 1 sur ce périphérique. Cela permet aux utilisateurs de contourner toute règle existante en matière de longueur de mot de passe et de créer potentiellement un mot de passe non sécurisé sur leur appareil.

Cette valeur est définie lors de l’installation d’Encryption Management Agent ou de l’application EMAgent. Aucune autre valeur connue n’est modifiée.

Les versions suivantes de Dell Data Security intègrent une solution pour contrer ces vulnérabilités :

• Dell Encryption version 10.0.1 et ultérieure
• Dell Endpoint Security Suite Enterprise version 2.0.1 et ultérieure

Les clients peuvent télécharger le logiciel Dell Encryption à l’adresse suivante : https://www.dell.com/support/home/product-support/product/dell-data-protection-encryption/drivers.

Le logiciel Dell Endpoint Security Suite Enterprise est mis à la disposition des clients sur leurs comptes ddpe.credant.com ou peut être obtenu via Dell ProSupport.

Solution de contournement :

Pour les appareils concernés, la règle de longueur minimale du mot de passe doit être modifiée manuellement en fonction de ce qui est souhaité pour l’environnement actuel.

• Si Dell Endpoint Security Suite Enterprise ou Dell Encryption Enterprise Encryption Management Agent est installé sur un contrôleur de domaine ou un appareil qui n’est pas joint à un domaine, la longueur minimale par défaut du mot de passe doit être modifiée sur l’appareil local.
• Si Dell Endpoint Security Suite Enterprise ou Dell Encryption Enterprise Encryption Management Agent est installé sur un appareil joint à un domaine, la longueur minimale par défaut du mot de passe doit être modifiée dans la console de gestion des stratégies de groupe de l’entreprise.

La valeur par défaut de cette propriété est 7 dans la plupart des configurations.

Cet article de la base de connaissances Microsoft explique comment modifier ce paramètre :
https://technet.microsoft.com/en-us/library/dd277399.aspx

Dell Technologies recommande à tous les utilisateurs de déterminer l’applicabilité de ces informations à leurs situations individuelles et de prendre les mesures appropriées. Les informations sont fournies « en l’état » sans garantie d’aucune sorte. Dell décline toute garantie, expresse ou implicite, y compris les garanties de qualité marchande, d’adéquation à un usage particulier, de titre et de non-fring. En aucun cas, Dell ou ses fournisseurs ne peuvent être tenus responsables de tout dommage direct, indirect, accessoire, consécutif, de perte de bénéfices commerciaux ou de dommages spéciaux, même si Dell ou ses fournisseurs ont été avertis de la possibilité de tels dommages. Certains états ne permettent pas l’exclusion ou la limitation de responsabilité pour les dommages consécutifs ou accidentels. Par conséquent, la limitation ci-dessus peut ne pas s’appliquer.

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.