Category published:  DLP | Data Loss Prevention EPO | ePolicy Orchestrator Hotfixes, Updates   Click on the Category button to get more articles regarding that product.

Mcafee/Trellix EPO 5.10 SP1 UPD2 (Update 2) Installation CVE-2023-5444 (RISK HIGH) and CVE-2023-5445

Posted by admin on 28.11.2023

Exploit/Lücken CVE-2023-5444 (RISK HIGH) und CVE-2023-5445.

Update Mcafee/Trellix EPO Management Server


 

There is emergency patch for EPO and the Trellix Forum seems to be down or rebuilt?


Here is some info to help you this way. We have just updated around 10 EPO on-premises installations from EPO 5.10 SP1 to UPD2 or from 5.10 RTM to SP1 and then to SP1 UPD2 in a second step.

If you disable the TWO Services before the update, all works fine. We had no problems with the updates. However, after the update, we have seen an issue where you cannot change/view/edit policies directly under the System Tree anymore. (See end of blog)

Before you proceed, we are unaware if the WMI Service bug, which failed many SP1 installations, is still present. Therefore, do yourself a favor: just disable the TWO Services, reboot, and you are fine. After the SP1 GA (UPD2), re-enable the services:

1. WMI Performance Adapter (ENG) or WMI-LeistungsadapterService (DEU) named “wmiApSrv”

2. Windows Management Instrumentation (ENG) or “Windows Verwaltungsinstrumentation” (DEU) or Service named “Winmgmt”

https://www.butsch.ch/post/mcafeetrellix-epo-5100-service-pack-repost-1-4098-fails-to-install-and-rollback/

 

Full steps:

– Make a hypervisor/Vmware Snapshot of the machine to be safe

– Make sure you have Patch 15 installed before you install SP1

For SP1, you HAVE/MUST disable the Windows Services (See above) > You MUST, or the install will fail and worst TRASH your EPO.

https://www.butsch.ch/post/mcafeetrellix-epo-5100-service-pack-repost-1-4098-fails-to-install-and-rollback/

– If you are on Update 15, you have to first go to SP1 and then with the second Patch install the UPDATE 2.

– Unzip the Files, run epoupdater.exe elevated.

– It will warn of Extension or products you have to be ajour and update before it can be run.

 

At the end your target to be safe is:


SP1


SP1 UPD2


 

FILE: ePO_5.10.0_1359_ServicePack1Update.zip (SP1)

FILE: epo_5.10.0_servicepack1update2.zip (GA2, Update2)

Release Notes, German

SAG-50 – Das OpenRedirect-Problem in ePO wurde behoben. Weitere Informationen finden Sie in SB10410.

SAG-49 – Probleme beim Hinzufügen von Benutzern mit der Administratorrolle wurden behoben. Weitere Informationen finden Sie in SB10410.

EPO-11715 – Die Apache-Speicherauslastung in Agenten-Handlern nimmt mit der Zeit zu, bis konstante Fehler “Server hat nicht genügend Arbeitsspeicher, Anfrage kann nicht verarbeitet werden” protokolliert werden. Dies ist jetzt behoben.

EPO-10892 – Das Upgrade wird auch dann gestartet, wenn das Paket aus dem Software-Katalog noch nicht in einen Zweig eingecheckt wurde. Dies ist jetzt behoben.

EPO-10511 – Das Installationsdatum von neu installierten Programmen zeigt die aktuellen Informationen an.

EPO-11263 – Die Latenz beim Laden von Seiten beim Navigieren auf der Seite “Tag-Katalog” wurde verbessert.

SAG-59 – Upgrade der JRE-Version auf 1.8.0_381 durchgeführt. Weitere Informationen finden Sie unter SB10410.

SAG-65 – Upgrade der Tomcat-Version auf 9.0.82 durchgeführt. Weitere Informationen finden Sie unter SB10410.

EPO-11942 – epoRollup_Computer-Datenbanktabelle verwendet eine Ganzzahl für AutoID.

EPO-11059 – Blockierung der IP, obwohl sie gemäß IP-Beschränkung unter “Anmeldeschutz” zugelassen ist. Dies ist jetzt behoben.

EPO-11124 – Active Directory-Synchronisierung für Gruppencontainer-Konflikte. Dies ist jetzt behoben.

EPO-11079 – Keine Übereinstimmung bei der Anzeige der Zeitzone für Amman und Jordanien auf dem ePO-Server und der ePO-Konsole. Dies ist jetzt behoben.

EPO-10976 – Verzögerung beim Funktionieren des Anmeldeschutzes nach dem Neustart der ePO-Dienste. Dies ist jetzt behoben.

EPO-10993 – Probleme beim Aktivieren/Deaktivieren der Laufwerkverschlüsselung und Treiberverschlüsselung kann nicht mehr konfiguriert werden und Datenkanalereignisse werden in ePO nicht angezeigt. Dies ist jetzt behoben.

EPO-10635 – Bei einer Neuinstallation des Agenten-Handlers werden mehrere Aktualisierungsversionen und eine falsche gemeldet. Dies ist jetzt behoben.

EPO-11162 – epoRollup_AssignedPolicy-Datenbanktabelle verwendet eine Ganzzahl für UniqueAutoID.

EPO-11209 – Fehler bei der Richtlinienerstellung, wenn der Wert von PolicySettingValuesID größer ist als der Wert, der in einer Ganzzahl gespeichert werden kann. Dies ist jetzt behoben.

EPO-11128 – Geringfügige Abweichungen bei SQL-Aufträgen zur erneuten Indizierung von EPO-Datenbanken wurden behoben.

EPO-10751 – Die Funktion zur Genehmigung von Richtlinienzuweisungen lässt nicht zu, dass ein Administrator die Anfrage genehmigen oder ablehnen kann. Dieses Problem wurde behoben.

EPO-11070 – Die beim Abfragekatalog bei einer großen Anzahl von Abfragen beobachtete Langsamkeit ist vorhanden. Dies ist jetzt behoben.

 

Here is what it means, best this es done by Managment Studio Express or from another SQL Server which has it installed.

Change to:

If you did updates before you know the process.

Just LOGON to EPO and then Update the EXTENSION via Software Catalog OR if you are 100% sure you don’t need it remove it.

https://kcm.trellix.com/corporate/index?page=content&id=KB94079

Minimum supported extension versions for ePolicy Orchestrator 5.10.x


 

There will be short deperate POST because of DEVICE Control DLP. For the SP1 UPD you need to be ajour with

The DLP which gives you a migration step more which is rather complex and risky. If you do not HAVE DEVICE controll or DLP (Data loss prevention) all is fine.

 

 

Change we have seen in POLICY handling under system. To date we are not aware if this is a BUG, wanted to closed because of the Leak/Exploit or a change.

 


Afer SP1 GA2 (Update 2) we can’t do that anymore.


 

Some Links:

https://docs.trellix.com/bundle/epolicy-orchestrator-5.10.0-release-notes/page/GUID-C677CB23-6DB8-4294-BFC7-5AB417895E89.html

https://www.butsch.ch/post/mcafeetrellix-epo-5100-service-pack-repost-1-4098-fails-to-install-and-rollback/

 


 


 Category published:  DLP | Data Loss Prevention EPO | ePolicy Orchestrator Hotfixes, Updates   Click on the Category button to get more articles regarding that product.