Aviso de seguridad que afecta a los clientes y servidores de NetBackup

VTS23-006

Aviso de seguridad que afecta a los servidores primarios, servidores de soportes y clientes de NetBackup con SO Windows

Historial de revisión

1.0: 28 de abril de 2023, versión inicial
1.1: 19 de mayo de 2023, actualización de los componentes afectados e información agregada sobre la corrección

Problema: escalamiento de privilegios

Una vulnerabilidad en la forma en que el cliente de NetBackup con SO Windows valida la ruta a un DLL antes de cargarlo podría permitir que un usuario eleve los privilegios y comprometa el sistema operativo de host.

Id. de CVE:CVE-2023-28759
Gravedad: alta
Puntaje de base del CVSS v3.1: 8.4 (AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Componentes afectados:
- Se instaló el servidor primario, el servidor de soportes y el cliente de NetBackup en el sistema operativo de Windows.
Versiones afectadas: todas las versiones anteriores a la 10.0
Acción recomendada:
- Actualizar a 10.0 o posterior sin necesidad de realizar ninguna acción adicional.
- O actualizar a la versión 8.3.0.1 y aplicar la corrección para Etrack 4115799
- O actualizar a la versión 8.3.0.2 y aplicar la corrección para Etrack 4116057
- O actualizar a la versión 9.0.0.1 y aplicar la corrección para Etrack 4116060
- O actualizar a la versión 9.1.0.1 y aplicar la corrección para Etrack 4115260
Mitigación
- El problema se mitiga si los usuarios que no son administradores NO tienen acceso para crear archivos en la ruta de búsqueda del DLL.
- Consulte la documentación de Microsoft para conocer el orden de búsqueda del DLL. https://learn.microsoft.com/es-mx/windows/win32/dlls/dynamic-link-library-search-order

Preguntas

Si tiene preguntas o problemas relacionados con esta vulnerabilidad, contáctese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES)

Reconocimiento

Veritas desea agradecer a Lockheed Martin Red Team por notificarnos sobre este problema.

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054