Security Advisory ID: NSKPSA-2022-001
Severity Rating: High
First Communicated: Mar 21, 2022
Overall CVSS Score: 8.4
Version: 1.0
Description
Netskope Client est affecté par une vulnérabilité qui permet à un attaquant local authentifié de consulter des informations sensibles stockées dans les journaux de NSClient, qui devraient être restreints. La vulnérabilité existe parce que l'information sensible n'est pas masquée/épurée avant d'être écrite dans les journaux. Un utilisateur malveillant peut utiliser les informations sensibles pour télécharger des données et se faire passer pour un autre utilisateur.
CWE-532 : Insertion d'informations sensibles dans un fichier journal
Affected Product(s) and Version(s)
Netskope Client vR91 and Prior
CVE-ID(s)
CVE-2021-44862
Remediation
Netskope has patched this vulnerability and released a new version. All customers
are recommended to upgrade their NSClients to the latest version. To download
latest version, please refer to download Instructions at Download Netskope Client and Scripts – Netskope Support.
Référence Netskope
https://support.netskope.com/s/article/NSKPSA-2022-001-Netskope-Security-Advisory-Sensitive-information-in-audit-logs.
Workaround
Il n'existe pas de solution à cette vulnérabilité, si ce n'est la mise à jour vers la dernière version.
General Security Best Practices
Suivez les configurations de locataires sécurisés pour améliorer la sécurité des locataires répertoriés à l'adresse https://support.netskope.com/s/article/Secure-Tenant-Configuration.
Special Notes and Acknowledgement
Netskope remercie Ben O'Dea et Josh Wilson de IAG Australia pour avoir signalé cette vulnérabilité.
Exploitation and Public Disclosures
Netskope is not aware of any public exploitation or disclosures before this date.
Revision History
Version | Date | Section | Notes |
---|---|---|---|
1.0 | Mar 21, 2022 | Initial Disclosure |
Avis de non-responsabilité
Dans toute la mesure permise par la loi applicable, les informations fournies dans le présent avis le sont "en l'état", sans garantie d'aucune sorte. L'utilisation des informations contenues dans le présent avis ou des documents qui y sont liés se fait à vos propres risques. Le présent avis et tous les aspects de la politique de réponse aux incidents de sécurité des produits Netskope peuvent être modifiés sans préavis. La réponse n'est pas garantie pour une question spécifique ou une catégorie de questions. Vos droits concernant les garanties, l'assistance et la maintenance, y compris les vulnérabilités de tout logiciel ou service de Netskope, sont régis uniquement par le contrat-cadre applicable entre Netskope et vous. Les déclarations contenues dans le présent avis ne modifient pas, n'élargissent pas ou ne modifient pas d'une autre manière les droits dont vous disposez en vertu de l'accord-cadre applicable, et ne créent pas de garanties ou d'engagements supplémentaires.