Security Advisory ID: NSKPSA-2022-001
Severity Rating: High
First Communicated: Mar 21, 2022
Overall CVSS Score: 8.4
Version: 1.0
Description
Netskope Client は、認証されたローカルの攻撃者が、制限されるべきNSClientログに保存されている機密情報を表示できる脆弱性の影響を受けます。この脆弱性は、機密情報がログに書き込む前にマスク/スクラブされないために存在します。 悪意のあるユーザーは、機密情報を使用してデータをダウンロードし、別のユーザーになりすますことができます。
CWE-532: ログファイルへの機密情報の挿入
Affected Product(s) and Version(s)
Netskope Client vR91 and Prior
CVE-ID(s)
CVE-2021-44862
Remediation
Netskope has patched this vulnerability and released a new version. All customers
are recommended to upgrade their NSClients to the latest version. To download
latest version, please refer to download Instructions at Download Netskope Client and Scripts – Netskope Support.
Netskope 参照
https://support.netskope.com/s/article/NSKPSA-2022-001-Netskope-Security-Advisory-Sensitive-information-in-audit-logs。
Workaround
この脆弱性に対する回避策は、最新バージョンにアップグレードする以外にありません。
General Security Best Practices
セキュリティで保護されたテナント構成に従って、https://support.netskope.com/s/article/Secure-Tenant-Configuration に記載されているテナントのセキュリティを強化し ます。
Special Notes and Acknowledgement
Netskopeは、この脆弱性を報告したIAGオーストラリアのBen O'DeaとJosh Wilsonの功績を認めています。
Exploitation and Public Disclosures
Netskope is not aware of any public exploitation or disclosures before this date.
Revision History
バージョン | 日付 | Section | Notes |
---|---|---|---|
1.0 | Mar 21, 2022 | Initial Disclosure |
免責事項
適用法で認められる最大限の範囲で、この通知で提供される情報は、いかなる種類の保証もなく「現状有姿」で提供されます。 この通知の情報またはここにリンクされている資料の使用は、ご自身の責任で行ってください。 この通知および Netskope 製品セキュリティインシデント対応ポリシーのすべての側面は、予告なしに変更される場合があります。 特定の問題または問題のクラスに対する応答は保証されません。 Netskopeソフトウェアまたはサービスの脆弱性を含む、保証、サポート、およびメンテナンスに関するお客様の権利は、Netskopeとお客様の間の該当する基本契約によってのみ管理されます。 この通知の記述は、該当する基本契約に基づくお客様の権利を変更、拡大、またはその他の方法で修正するものではなく、追加の保証またはコミットメントを作成するものでもありません。