CWE ID: 526
Name: Cleartext Storage of Sensitive Information in an Environment Variable
Das Produkt verwendet eine Umgebungsvariable zur Speicherung sensibler Informationen ohne Encryption.
Informationen, die in einer Umgebungsvariable gespeichert sind, können von anderen Prozessen mit dem Ausführungskontext zugänglich sein, einschließlich Kindprozessen, in denen Abhängigkeiten ausgeführt werden, oder serverless functions in Cloud-Umgebungen. Der Inhalt einer Umgebungsvariable kann auch in Messages, Headers, Logfiles oder anderen Outputs eingefügt werden. Häufig haben diese anderen Dependencies keinen Bedarf, die betreffende Umgebungsvariable zu nutzen. Eine Schwachstelle, die die Offenlegung von Umgebungsvariablen ermöglicht, könnte diese Informationen preisgeben.
Effektivität: Unknown
Beschreibung: Verschlüsseln Sie die in der Umgebungsvariable gespeicherten Informationen, um diese vor unbefugten Zugriff zu schützen. Sollte eine Verschlüsselung nicht realisierbar sein oder für den geschäftlichen Nutzen der Anwendung als zu kostspielig erachtet werden, sollte stattdessen eine ordnungsgemäß geschützte Konfigurationsdatei anstelle einer Umgebungsvariable verwendet werden. Es ist zu verstehen, dass auch unverschlüsselte Informationen in einer Konfigurationsdatei keinen garantierten Schutz bieten, aber dennoch eine bessere Wahl darstellen, da sie die Angriffsfläche im Zusammenhang mit Schwachstellen wie CWE-214 reduziert. In einigen Szenarien können Vaults eine praktikable Option für einen sichereren Datentransfer darstellen. Benutzer sollten über die geschäftliche Entscheidung informiert werden, sensible Informationen nicht durch Verschlüsselung zu schützen.
Effektivität: Unknown
Beschreibung: Sollte die Umgebungsvariable für das gewünschte Verhalten nicht notwendig sein, entfernen Sie diese vollständig oder leeren Sie sie auf einen leeren Wert.
