Tenable Identity Exposure 2025 年オンプレミスリリースノート
ヒント: Tenable ドキュメントの更新に関するアラートを受け取るようにサブスクリプション登録できます。
以下のリリースノートは、新しいリリース順にリストされています。
Tenable Identity Exposure 3.77.10 (2025 年 3 月 27 日)
バグ修正
Tenable Identity Exposure バージョン 3.77.10 には、以下のバグ修正が含まれています。
| バグ修正 |
|---|
| Tenable Identity Exposure は SAM 名のなりすまし攻撃インジケーター (IoA) の深刻度を修正しました。これは「重大」に分類されますが、特定のメタデータで誤って「高」とラベル付けされていました。 |
| Tenable Identity Exposure は、最新バージョンの Windows 11 のサポート終了日を変更しました。 |
|
2024 年 11 月にリリースされた Windows Server 2025 で新しい AD 機能レベルが導入されました (Server 2016 以来)。これを、機能レベルが更新されていないドメイン露出インジケーター (IoE) が考慮するようになりました。Tenable Identity Exposure は、廃止になった OS を実行しているコンピューター IoE で Server 2025 の有効期限情報を追加し、さまざまな IoE でその他の軽微な調整 (新しいスキーマバージョンなど) も行いました。 注意: これは、Windows Server 2025 で Tenable Identity Exposure をホスティングする場合の互換性を保証するものではありません。互換性の詳細については、今後のドキュメントの更新やリリースノートを参照してください。 |
| 特権ユーザーのログオン制限 IoE で逸脱と特定されたオブジェクトを削除した後、関連する逸脱が正しくクローズされるようになりました。 |
| Tenable Identity Exposure で、セキュアリレーのアンインストールの際に、ディレクトリリスナーとともにインストールされている場合でも Envoy サービスが適切に削除されるようになりました。 |
| Tenable Identity Exposure は、Windows 最新バージョンでイベント番号 4624 を適切に処理するようになりました。 |
| セキュアリレーをアンインストールしても、ディレクトリリスナーと共有されている「Tools」フォルダーが削除されなくなりました。両方が同じマシンにインストールされている場合、「Tools」フォルダーはそのまま保持され、nssm バイナリが保存されます。 |
| Tenable Identity Exposure は、アップグレード中の保護手段を追加することでアンインストールプロセスを強化し、ロールバックを減らし、システムの安定性を向上させました。 |
| Tenable Identity Exposure で、逸脱したオブジェクトを選択する際に、選択した理由でのフィルタリングが正しく適用されるようになりました (該当する場合)。 |
| 攻撃者のマシンがドメインを離れたとき、DCSync IoA が基本モードでアラートを出すようになりました。 |
| Tenable は、攻撃インジケーターを設定するスクリプトにデジタル署名するようになりました。その結果、外部のセキュリティツールで署名がないために潜在的なリスクとしてフラグが立てられないようになりました。 |
| アップグレード後、ディレクトリリスナーは、同じマシンに別のセキュアリレーがインストールされるのを防ぎます。 |
| Tenable Identity Exposure は、メッセージの公開中に RabbitMQ チャネルエラーを適切に処理することで、アプリケーションのレジリエンスを強化しました。 |
| ドメインの到達可能性ヘルスチェックで、ドメインが到達不可である理由がより正確に表示されるようになりました。 |
アップデートされたソフトウェアの依存関係
| ソフトウェア名 | アップグレード前 | アップグレード後 |
|---|---|---|
| Tenable Identity Exposure | 3.77.9 | 3.77.10 |
| C++ 2015-2019 再頒布可能パッケージ | 14.38.33135.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 8.0.12.24603 | 8.0.13.25066 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.18.2.0 | 20.18.3.0 |
| Erlang OTP | 26.2.5.6 | 26.2.5.6 |
| Rabbit MQ | 4.0.3 | 4.0.3 |
| SQL Server | 15.0.4415.2 | 15.0.4430.1 |
| OpenSSL | 3.3.2 | 3.3.2 |
| Envoy | 1.29.12 | 1.29.12 |
| Handle | 5.0 | 5.0 |
| Curl | 8.12.0 | 8.12.1 |
Tenable Identity Exposure 3.77.9 (2025 年 2 月 20 日)
機能強化
-
Tenable Identity Exposure では、環境を以前の状態に効果的に戻すためにロールバックプロセスが合理化され、不要なデータや不整合が残らないようにします。
新しい前提条件: ロールバック手順を開始する前に、ストレージマネージャーに少なくとも 20 GB のディスクスペースがあることを確認してください。詳細については、Tenable Identity Exposure ユーザーガイドのリソースサイジングを参照してください。
バグ修正
Tenable Identity Exposure バージョン 3.77.9 には、以下のバグ修正が含まれています。
| バグ修正 |
|---|
| IoA リスナーモジュールの audit.csv ファイルが正しくインストールされます。 |
| Tenable Identity Exposure はインストール場所の取得方法を改善し、すべての Cleanup_* カスタムアクションが、エラーを返した場合でもインストールやアップグレードの失敗を引き起こさないようになりました。さらに、Tenable Identity Exposure は、インストール中に確認プロンプトが表示されないように、カスタムアクションに対して非対話型の実行を強制するようになりました。 |
| Tenable Identity Exposure は、メッセージの公開中に RabbitMQ チャネルエラーを適切に処理することで、アプリケーションのレジリエンスを強化しました。 |
| Tenable Identity Exposure は、アップデーターフォルダーのアクセスリストのアクセス許可を強化し、悪意のあるユーザーによるアクセスを防止します。 |
| Tenable Identity Exposure は、攻撃インジケーターのスクリプトおよび設定で破損していた認証スキーマを解決しました。 |
| Tenable Identity Exposure は、認証情報漏洩の脆弱性に対処し、保存されている SMTP アカウントの認証情報を管理者が抽出できないようにしました。 |
| 攻撃者が基本モードで偽造された TGT チケットを使用すると、ゴールデンチケット攻撃インジケーター (IoA) がアラートを発するようになりました。 |
| 危険な Kerberos 委任露出インジケーター (IoE) に、孤立した SPN に関連した危険な属性がすべて含まれるようになりました。 |
| Tenable Identity Exposure は、内部サービスでの認証なしの呼び出しがアクティビティログに保存されないようにし、より明確かつ正確なログ記録を行います。 |
| お客様の証明書に DNS 名のみが含まれている場合、Tenable Identity Exposure はセキュリティエンジンノード (SEN) の IP アドレスに完全修飾ドメイン名 (FQDN) をオートコンプリートします。 |
| Tenable Identity Exposure は、Windows イベントログの解析速度を改善し、製品の遅延が蓄積されなくなりました。この変更の恩恵を受けるには、攻撃インジケーターを再デプロイする必要があります。 |
| Tenable Identity Exposure は、セキュリティエンジンノード (SEN) をアップグレードする際の環境変数の復元を解決しました。 |
| Tenable Identity Exposure は、自動更新中にスケジュールされたタスクを使用して、以前の updater.exe プロセスを終了するようになりました。 |
| ユーザーインターフェースに Tenable Identity Exposure 名が正しく表示されます。 |
| 攻撃が NTAUTHORITY\SYSTEM によってトリガーされたときに、OS 認証情報ダンプ IoA が、ソース IP、ソースホスト名、ターゲット IP を適切に解決するようになりました。 |
| Tenable Identity Exposure は、セキュリティプロファイルから特権 PSO のリストを考慮するようになり、このオプションが設定されている場合に、「特権 PSO がドメインに適用されていない」という理由による、ユーザーに対する弱いパスワードポリシーの適用 IoE が解決されます。 |
| Tenable Identity Exposureは、ユーザーに対する弱いパスワードポリシーの適用 IoE のロックアウトしきい値とロックアウト期間オプションの処理を解決しました。これらの値を 0に設定することで、逸脱を許可リストに追加できるようになりました。 |
| 登録済みのフォレストのいずれかのユーザー名にバックスラッシュが含まれている場合でも、[ヘルスチェック] ページが表示されるようになりました。 |
| 機密データ収集が適切に設定されていない場合でも、Tenable Identity Exposure によってクロールが成功しなくなることはなくなりました。 |
アップデートされたソフトウェアの依存関係
| ソフトウェア名 | アップグレード前 | アップグレード後 |
|---|---|---|
| Tenable Identity Exposure | 3.77.6 | 3.77.9 |
| C++ 2015-2019 再頒布可能パッケージ | 14.38.33135.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 8.0.11.24521 | 8.0.12.24603 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.18.1.0 | 20.18.2.0 |
| Erlang OTP | 26.2.5.5 | 26.2.5.6 |
| Rabbit MQ | 4.0.3 | 4.0.3 |
| SQL Server | 15.0.4405.4 | 15.0.4415.2 |
| OpenSSL | 3.3.2 | 3.3.2 |
| Envoy | 1.29.10 | 1.29.12 |
| Handle | 5.0.0 | 5.0 |
| Curl | 8.11.0 | 8.12.0 |