Vulnerabilità legata alla sovrascrittura dei criteri di protezione di Dell Encryption e Dell Endpoint Security Suite Enterprise

Prodotti interessati:

• Dell Encryption Enterprise - Da v8.4.0 a 10.0
• Dell Endpoint Security Suite Enterprise dalla versione 1.0.0 alla 2.0

Details:

ID CVE: CVE-2018-15766

Livello di gravità: Medio

Nota: Per ulteriori informazioni sugli identificatori CVE, consultare https://www.cvedetails.com/cve-help.php .

Durante l'installazione, le versioni di Dell Encryption precedenti alla 10.0.1 e le versioni di Dell Endpoint Security Suite Enterprise precedenti alla 2.0.1 sovrascrivono e impostano manualmente l'oggetto criteri di gruppo Lunghezza minima password su un valore pari a 1 su tale dispositivo. Ciò consente agli utenti di ignorare qualsiasi criterio esistente per la lunghezza della password e di creare una password potenzialmente non sicura sul dispositivo.

Questo valore viene definito durante l'installazione dell'applicazione Encryption Management Agent o EMAgent. Non esistono altri valori noti che vengono modificati.

Le seguenti versioni di Dell Data Security contengono le risoluzioni per questa vulnerabilità:

• Dell Encryption versione 10.0.1 e successive
• Dell Endpoint Security Suite Enterprise versione 2.0.1 e successive

I clienti possono scaricare il software Dell Encryption dal https://www.dell.com/support/home/product-support/product/dell-data-protection-encryption/drivers.

Il software Dell Endpoint Security Suite Enterprise è disponibile per i clienti sui propri account ddpe.credant.com o può essere ottenuto tramite Dell ProSupport.

Soluzione alternativa:

Per i dispositivi interessati, il criterio di lunghezza minima della password deve essere modificato manualmente in quello desiderato per l'ambiente corrente.

• Se Dell Endpoint Security Suite Enterprise o Encryption Management Agent di Dell Encryption Enterprise è installato su un controller di dominio o su un dispositivo non aggiunto a un dominio, la lunghezza minima predefinita della password deve essere modificata sul dispositivo locale.
• Se Dell Endpoint Security Suite Enterprise o Encryption Management Agent di Dell Encryption Enterprise è installato su un dispositivo aggiunto a un dominio, la lunghezza minima predefinita della password deve essere modificata all'interno della console Gestione Criteri di gruppo dell'azienda.

Il valore predefinito per questa proprietà è 7 nella maggior parte delle configurazioni.

Questo articolo della Knowledge Base di Microsoft descrive come modificare questa impostazione:
https://technet.microsoft.com/en-us/library/dd277399.aspx

Dell Technologies consiglia a tutti gli utenti di determinare l'applicabilità di queste informazioni alle singole situazioni e di intraprendere le azioni appropriate. Le informazioni vengono fornite "così come sono" senza garanzia di alcun tipo. Dell declina tutte le garanzie, espresse o implicite, comprese le garanzie di commerciabilità, idoneità per uno scopo particolare, titolarità e non violazione di non violazione. In nessun caso Dell o i suoi fornitori saranno ritenuti responsabili per danni di qualsivoglia natura, inclusi danni diretti, indiretti, incidentali, consequenziali, perdita di profitti o danni speciali, anche nel caso in cui Dell o i suoi fornitori siano stati informati della possibilità di tali danni. In alcune giurisdizioni e paesi l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali non è ammessa, pertanto le esclusioni di responsabilità e le limitazioni precedenti non sono applicabili.

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.