Historial de revisión
- 1.0: 5 de marzo de 2020: versión inicial
Resumen
Algunas versiones de Veritas Backup Exec están afectadas por la vulnerabilidad CVE-2020-0601 de Microsoft Windows CryptoAPI.
| Problema | Descripción | Gravedad | Versión reparada |
|---|---|---|---|
1 |
Algunas versiones de Backup Exec están afectadas por la vulnerabilidad CVE-2020-0601 de Microsoft Windows CryptoAPI que tiene que ver con la verificación de certificados de firma de código de ECC. |
Crítico |
N/D |
Problemas
En enero de 2020, Microsoft publicó un aviso de seguridad por un problema crítico en Windows CryptoAPI, según el cual un atacante podría aprovechar puntos vulnerables "usando un certificado de firma de código para firmar un ejecutable malicioso, haciendo parecer que el archivo procediera de una fuente legítima y confiable". Durante la instalación de una actualización del producto, existe una situación en la que Backup Exec verifica el código firmado y podría verse afectado por esta vulnerabilidad.
Versiones afectadas
Las versiones 20.5 y 20.6 de Backup Exec se ven afectadas por este problema. Todas las versiones anteriores soportadas de Backup Exec no se ven afectadas.
Reparación
La única forma de reparar este problema es instalar la actualización de Windows de Microsoft que repara la vulnerabilidad. No habrá actualización de Backup Exec para abordar este problema debido a que esta vulnerabilidad se encuentra en Microsoft Windows, no en Backup Exec.
Mitigaciones
No realizar una actualización de Backup Exec en un sistema hasta que se haya instalado la actualización de Windows.
Los usuarios pueden continuar realizando copias de recuperación y restauraciones en sistemas vulnerables sin riesgo de activar la vulnerabilidad.