Historique des révisions

• 1.0 : 7 septembre 2021 : version initiale
• 1.1 : 11 octobre 2022 : ID de CVE ajouté

Résumé

Vulnérabilité relative à la divulgation d'informations sensibles dans Veritas System Recovery

Problème

• Vulnérabilité relative à la divulgation d'informations sensibles : mot de passe enregistré dans le Registre Windows
• ID de CVE : CVE-2022-41320
• Gravité : moyenne
• Score de base CVSS v3.1 : 5,3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

Les versions 18 et 21 de Veritas System Recovery (VSR) stockent un mot de passe de destination réseau dans le Registre Windows durant la configuration de la sauvegarde. Cette vulnérabilité pourrait fournir à un utilisateur Windows disposant des privilèges suffisants l'accès à un système de fichiers réseau auquel il n'est pas autorisé à accéder.

Remédiation

Les clients liés par un contrat de maintenance en cours peuvent télécharger et installer des fichiers binaires d'installation qui atténuent cette vulnérabilité comme décrit ci-dessous :

• Si vous utilisez VSR 18 :
• Vérifiez que votre système a été mis à jour vers le dernier Service Pack, VSR 18 SP4, et
• Téléchargez le fichier VProSvc.exe mis à jour (version : 18.0.4.57090) pour votre système d'exploitation
• Remplacez le fichier VProSvc.exe sur votre serveur et les clients par la version mise à jour
• Si vous utilisez VSR 21 :
• Vérifiez que votre système a été mis à jour vers le dernier Service Pack, VSR 21 SP3, et
• Téléchargez le fichier VProSvc.exe mis à jour (version : 21.0.3.62140) pour votre système d'exploitation
• Remplacez le fichier VProSvc.exe sur votre serveur et les clients par la version mise à jour

Consultez le Centre de téléchargements Veritas pour découvrir les mises à jour disponibles : https://www.veritas.com/support/fr_FR/downloads

Questions

Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR) ou consultez l'article : 100051263.

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OU CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC
, 2625 Augustine Drive
, Santa Clara, CA 95054