PT-2020-17251 · Duo · Duo Network Gateway
Publicado
2020-10-14
·
Atualizado
2020-10-29
·
CVE-2020-3483
CVSS v3.1
7.1
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Duo Network Gateway (DNG) versões 1.3.3 a 1.5.7
Descrição
O problema diz respeito ao registro de certificados SSL e chaves privadas fornecidos pelo cliente em texto simples em arquivos locais no host do DNG. Isso poderia permitir que um invasor com acesso aos logs do DNG e capacidade de interceptar e manipular o tráfego de rede descriptografasse e manipulasse conexões SSL/TLS com o DNG e aplicativos protegidos.
Recomendações
Para as versões 1.3.3 a 1.5.7 do Duo Network Gateway (DNG), atualize para uma versão que inclua a correção para este problema, a fim de impedir que informações de certificados e chaves privadas sejam registradas em texto simples.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Duo Network Gateway