Sicherheitsempfehlung zu NetBackup unter Windows

VTS24-001

Sicherheitsempfehlung zu NetBackup unter Windows

Bisherige Aktualisierungen

1.0: 15. April 2024: Erste Version
1.1: 8. Mai 2024: Empfohlene Maßnahmen for 10.0.0.1 and 9.1.0.1

Problem: Willkürliches Löschen von Dateien

Der in NetBackup verwendete Multi-Threaded Agent kann dazu genutzt werden, geschützte Dateien willkürlich zu löschen.

CVE-ID: CVE-2024-33672
Schweregrad: hoch
CVSS v3.1 Base Score 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
CWE-427 Nicht kontrolliertes Suchpfadelement
Betroffene Komponenten: Nur Microsoft Windows-Betriebssysteme – Primärserver, Medienserver und Clients
Betroffene Versionen: 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1, 10.0, 9.1.0.1, 9.1, 8.3.0.2.

Hinweis: Ältere, nicht unterstützte Versionen sind ggf. ebenfalls betroffen.

Empfohlene Maßnahmen:

Upgrade auf Version 10.4 (keine EEB erforderlich) oder
Upgrade auf Version 10.3.0.1 und Anwendung der EEB 10.3.0.1 vom Download Center oder
Upgrade auf Version 10.2.0.1 und Anwendung der EEB 10.2.0.1 vom Download Center oder
Upgrade auf Version 10.1.1 und Anwendung der EEB 10.1.1 vom Download Center
Für die Versionen 10.0.0.1 und 9.1.0.1 wenden Sie sich bitte an den Veritas-Support, um ein EEB anzufordern.

Gegenmaßnahme: Beschränkung des Zugriffs auf das Verzeichnis „boost_interprocess“ (C:\ProgramData\boost_interprocess) auf lokale Administratoren

Danksagung

Veritas möchte sich beim Lockheed Martin Red-Team dafür bedanken, dass es uns über dieses Problem informiert hat.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE/contact-us).

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA