Security Advisory ID: NSKPSA-2022-001
Severity Rating: High
First Communicated: Mar 21, 2022
Overall CVSS Score: 8.4
Version: 1.0
Description
Netskope Client ist von einer Sicherheitslücke betroffen, bei der ein authentifizierter lokaler Angreifer vertrauliche Informationen einsehen kann, die in NSClient-Protokollen gespeichert sind, was eingeschränkt werden sollte. Die Sicherheitslücke besteht, weil die vertraulichen Informationen vor dem Schreiben in die Protokolle nicht maskiert/bereinigt werden. Ein böswilliger Benutzer kann die vertraulichen Informationen verwenden, um Daten herunterzuladen und sich als ein anderer Benutzer auszugeben.
CWE-532: Einfügen vertraulicher Informationen in die Protokolldatei
Affected Product(s) and Version(s)
Netskope Client vR91 and Prior
CVE-ID(s)
CVE-2021-44862
Remediation
Netskope has patched this vulnerability and released a new version. All customers
are recommended to upgrade their NSClients to the latest version. To download
latest version, please refer to download Instructions at Download Netskope Client and Scripts – Netskope Support.
Netskope-Referenz
https://support.netskope.com/s/article/NSKPSA-2022-001-Netskope-Security-Advisory-Sensitive-information-in-audit-logs.
Workaround
Es gibt keine Problemumgehungen für diese Sicherheitsanfälligkeit außer einem Upgrade auf die neueste Version.
General Security Best Practices
Befolgen Sie die sicheren Mandantenkonfigurationen, um die Sicherheit der Mandanten zu erhöhen, die unter https://support.netskope.com/s/article/Secure-Tenant-Configuration aufgeführt sind.
Special Notes and Acknowledgement
Netskope dankt Ben O'Dea und Josh Wilson von IAG Australia für die Meldung dieser Sicherheitslücke.
Exploitation and Public Disclosures
Netskope is not aware of any public exploitation or disclosures before this date.
Revision History
Version | Datum | Section | Notes |
---|---|---|---|
1.0 | Mar 21, 2022 | Initial Disclosure |
Haftungsausschluss
Soweit gesetzlich zulässig, werden die in dieser Mitteilung enthaltenen Informationen „wie besehen“ und ohne Gewährleistung jeglicher Art bereitgestellt. Die Nutzung der Informationen in dieser Mitteilung oder der hierin verlinkten Materialien erfolgt auf Ihr eigenes Risiko. Diese Mitteilung und alle Aspekte der Netskope-Richtlinie zur Reaktion auf Produktsicherheitsvorfälle können ohne vorherige Ankündigung geändert werden. Für ein bestimmtes Problem oder eine bestimmte Problemklasse kann keine Antwort garantiert werden. Ihre Ansprüche in Bezug auf Garantien, Support und Wartung, einschließlich Schwachstellen in der Software oder dem Service von Netskope, unterliegen ausschließlich der geltenden Rahmenvereinbarung zwischen Netskope und Ihnen. Die Aussagen in dieser Mitteilung ändern, erweitern oder ergänzen keine Ihrer Rechte im Rahmen des geltenden Rahmenvertrags und begründen keine zusätzlichen Garantien oder Verpflichtungen.