Vulnérabilité de suppression accélérée de Veritas Alta Recovery Vault

Historique des révisions

• 1.0 : 1er mai 2024 : version initiale
• 1.1 : 7 mai 2024 : ID de CVE ajouté

Résumé

Une vulnérabilité a été découverte dans la fonctionnalité Recovery Vault de Veritas NetBackup 10.3.0.1 et versions antérieures. Par nature, seul l'administrateur du cloud doit pouvoir désactiver le verrouillage de conservation des images en mode de gouvernance. Cette vulnérabilité permettait à un administrateur NetBackup de modifier l'expiration des sauvegardes en mode de gouvernance, ce qui pouvait entraîner une suppression prématurée.

Problème

ID de CVE: CVE-2024-34404
Gravité : moyenne
Score de base CVSS v3.1 : 6,8 (AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N)
CWE-284 : contrôle d'accès inadéquat

Conditions préalables

NetBackup Server a été configuré pour utiliser Veritas Alta Recovery Vault (anciennement connu sous le nom de NetBackup Recovery Vault) pour les services de conservation des données basés sur le cloud. Un utilisateur ayant le rôle « Administrateur NetBackup » accède alors aux serveurs NetBackup Server et effectue l'opération pour modifier l'expiration des images en mode de gouvernance dans le stockage cloud.

Versions affectées

Versions 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1, 10.0, 9.1.0.1 de Veritas NetBackup

Versions 5.3.0.1, 5.3, 5.1.1, 5.0, 5.0.0.1, 4.1.0.1 de l'appliance Veritas NetBackup

Remédiation

Cette vulnérabilité a déjà été corrigée sur tous les terminaux client cloud NetBackup Recovery Vault. Les clients Veritas NetBackup Recovery Vault qui ont installé le dernier correctif tel que décrit dans la note technique ci-dessous n'ont pas besoin de prendre d'autres mesures. Les clients qui n'ont pas installé le dernier correctif doivent le faire immédiatement pour que les sauvegardes planifiées se poursuivent.

Pour en savoir plus, veuillez vous reporter à la note technique Veritas :

• https://www.veritas.com/support/fr_FR/article.100065322

Questions

Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE.  VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION.  LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054