Avis pour APTARE OpenSSL

Historique des révisions

1.0 : 23 décembre 2020, version initiale
1.1 : 8 janvier 2021 : ajout de l'ID de CVE, mise à jour des sections Remédiation et Prévention

Résumé

Dans le cadre de son processus de test continu, Veritas a détecté un problème : Veritas APTARE IT Analytics pourrait permettre à un attaquant d'exécuter du code arbitraire à l'aide de droits d'administrateur.

Problème

ID de CVE : CVE-2020-36161
Gravité : critique
Score de base CVSS v3.1 : 9,3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

Au démarrage, l'application APTARE charge OpenSSL, et cette bibliothèque tente de charger le fichier de configuration qui n'existe pas à partir des emplacements suivants :

APTARE 10.4 et versions antérieures : \apache24\conf\openssl.cnf
APTARE 10.5 : \usr\local\ssl\openssl.cnf

Par défaut, sur les systèmes Windows, les utilisateurs peuvent créer des répertoires sous C:\. Un utilisateur possédant des privilèges restreints sur le système Windows et n'ayant aucun privilège dans APTARE peut créer un répertoire aux emplacements du fichier de configuration ci-dessus. Lorsque le système Windows redémarre, un moteur OpenSSL malveillant pourrait exploiter l'exécution de code arbitraire comme SYSTEM. L'attaquant obtient alors un accès administrateur au système, lui permettant (par défaut) d'accéder à l'ensemble des données, des applications installées, etc. En outre, une vulnérabilité connexe qui permet un accès similaire existe dans les exécutables OpenSSL que Veritas distribue avec APTARE pour les serveurs Linux.

Versions affectées

APTARE IT Analytics, versions 10.5 et 10.4.

Remédiation

Les clients liés par un contrat de maintenance en cours peuvent télécharger et installer des mises à jour et des correctifs comme décrit ci-dessous :

Si vous utilisez APTARE IT Analytics 10.5 :

Installez APTARE IT Analytics, version de maintenance 10.5P3

Si vous utilisez APTARE IT Analytics 10.4 :

Installez APTARE IT Analytics, version de maintenance 10.4P9

Ces versions de maintenance peuvent être automatiquement téléchargées et installées dans Veritas Update.

Si vous utilisez APTARE IT Analytics 10.3 ou versions antérieures, Veritas vous recommande de mettre à niveau vers APTARE IT Analytics 10.5.

Consultez le Centre de téléchargements Veritas pour découvrir les mises à jour disponibles : https://www.veritas.com/support/fr_FR/downloads

Prévention

Sur les implémentations Windows, à l'aide d'un compte administrateur, créez les chemins d'accès aux répertoires énumérés ci-dessus et définissez l'ACL sur le répertoire pour refuser l'accès en écriture à tous les autres utilisateurs. L'attaquant sera alors dans l'impossibilité d'installer un moteur OpenSSL malveillant. En outre, supprimez l'exécutable OpenSSL sur Windows (C:\opt\apache\bin\openssl.exe) et/ou sur Linux (/opt/apache/ssl/bin/openssl). Pour en savoir plus sur les étapes manuelles, consultez l'article de support APTARE IT Analytics Security Vulnerability.

Questions

Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR).