摘要
Tenable Identity Exposure 版本 3.77.14 现已发布,以解决在该产品使用的多个第三方组件中发现的若干安全漏洞。此版本将第三方组件升级至安全版本,并包含了多项功能增强和错误修复,以提高产品整体安全性与稳定性。用户应尽快升级到此版本。
安全公告详情
发布日期:2025-11-03 公告编号:TNS-2025-23 风险等级:严重
受影响的产品
- Tenable Identity Exposure 3.77.13 及更早版本。
漏洞概述
Tenable Identity Exposure 使用第三方软件来提供基础功能。其中一些第三方组件(.NET、SQL Server 和 curl)被发现包含漏洞,供应商已提供了更新版本。出于谨慎考虑并遵循最佳实践,Tenable 选择升级这些组件以解决潜在影响。
解决方案
Tenable 已发布 Tenable Identity Exposure 版本 3.77.14 来解决这些问题。安装文件可从 Tenable 下载门户获取:
版本 3.77.14 中的增强与修复
此版本不仅升级了依赖组件,还包含以下改进:
功能增强
- RabbitMQ 韧性提升:实现了对意外断开连接的自自动动恢复,确保连续的消息处理并防止服务中断。
错误修复
- 修复了正则表达式问题,该问题可能影响 Cygni 的执行。
- 解决了域可达性健康检查可能错误返回失败状态的问题。
- 确保了加密的 SQL 密码不会暴露在安装程序日志中。
- 更新了“特权用户的登录限制”原因模板,以明确要求必须拒绝特权用户账户的所有 IRSNB 权限。
- 修复了 RabbitMQ 账户共享相同密码的问题。
- 现在可自动为计划任务脚本进行签名,以减少因近期安全中继加固措施导致的自动更新问题。
- 修复了策略结果集计算逻辑中未考虑某些注册表设置和文件夹选项的问题。
- 解决了身份360配置和激活的问题。
更新的软件依赖项
此版本对核心依赖组件进行了如下升级,以修复已知漏洞:
| 软件名称 | 升级前版本 | 升级后版本 |
|---|---|---|
| .NET Windows Server Hosting | 8.0.18.25317 | 8.0.21.25475 |
| SQL Server | 15.0.4430.1 | 15.0.4445.1 |
| curl | 8.15.0 | 8.16.0 |
| NodeJS | 20.19.4.0 | 20.19.5.0 |
| Erlang OTP | 26.2.5.14 | 26.2.5.15 |
其他依赖项(如 IIS URL 重写模块、OpenSSL、Envoy 等)在此版本中保持不变。
相关风险信息
本次升级共涉及修复 8 个已分配的 CVE 漏洞,部分高风险漏洞的 CVSSv3 评分如下:
| CVE 编号 | 风险因子 | CVSSv3 基础/临时分数 |
|---|---|---|
| CVE-2025-9086 | 严重 | 7.5 / 6.5 |
| CVE-2025-49718 | 严重 | 7.5 / 6.5 |
| CVE-2025-49719 | 严重 | 7.5 / 6.5 |
| CVE-2025-55315 | 严重 | 9.9 / 8.6 |
| CVE-2025-55247 | 高 | 7.3 / 6.4 |
后续版本说明
在此安全公告发布后,Tenable 还于 2025年11月26日 发布了 版本 3.77.15,该版本进一步将部分组件升级至更新版本(例如将 .NET 升级至 8.0.22.25528,curl 升级至 8.1.7.0),并引入了更细粒度的时间过滤功能等增强。
附加参考
- 完整的版本发布说明:Tenable Identity Exposure 2025 本地部署版本说明
Tenable 非常重视产品安全。如果您认为在我们的产品中发现了漏洞,请与我们合作,以便快速解决,保护客户安全。有关提交漏洞信息的更多详情,请参阅我们的漏洞报告指南页面。