VTS24-012

Avis de sécurité concernant NetBackup sous Windows

Historique des révisions

  • 1.0 : 4 novembre 2024 : Version initiale
  • 2.0 : 26 novembre 2024 : Ajout de correctifs supplémentaires

Problème : vulnérabilité d’élévation de privilèges dans NetBackup sous Windows

Le serveur principal, le serveur multimédia et les clients Veritas NetBackup exécutés sur le système d’exploitation Windows sont vulnérables à une attaque qui pourrait être utilisée pour élever les privilèges.

Cette attaque nécessite que l’attaquant dispose d’un accès en écriture au lecteur racine sur lequel NetBackup est installé, ce qui lui permet d’installer une DLL malveillante. Si un utilisateur exécute des commandes NetBackup spécifiques ou si un attaquant utilise des techniques d’ingénierie sociale pour inciter l’utilisateur à exécuter les commandes, la DLL malveillante peut être chargée, ce qui entraîne l’exécution du code de l’attaquant dans le contexte de sécurité de l’utilisateur.

Remarque : Cela ne s’applique qu’aux composants NetBackup exécutés sur un système d’exploitation Windows.

ID CVE : CVE-2024-52945
Sévérité : Élevée
CVSS v3.1 Score de base 7.8 (AV :L/AC :L/PR :N/UI :R/S :U/C :H/I :H/A :H)
CWE-427 – Élément de chemin de recherche incontrôlé

Composants concernés : Composants du client NetBackup, du serveur principal et du serveur multimédia

Versions concernées: 10.4.0.1, 10.4, 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1 et 10.0. Les anciennes versions non prises en charge peuvent également être affectées.

Mesure recommandée :

  • Mise à niveau vers NetBackup version 10.5 ou
  • Mettez à niveau vers la version 10.4.0.1 de NetBackup et appliquez Correctif Depuis le centre de téléchargement
  • Effectuez la mise à niveau vers la version 10.3.0.1 de NetBackup et appliquez Correctif Depuis le centre de téléchargement
  • Effectuez la mise à niveau vers NetBackup version 10.2.0.1 et appliquez Correctif à partir du Centre de téléchargement pour les clients. Pour le serveur principal et le serveur multimédia, utilisez les étapes d’atténuation alternatives répertoriées ci-dessous.
  • Effectuez la mise à niveau vers NetBackup version 10.1.1 et appliquez Correctif à partir du Centre de téléchargement pour les clients. Pour le serveur principal et le serveur multimédia, utilisez les étapes d’atténuation alternatives répertoriées ci-dessous.

Autres mesures d’atténuation :

1. Créez un répertoire nommé « bin » sous le lecteur racine où NetBackup est installé. Si ce répertoire existe, passez à l’étape 2.

  • Exemple : C :\bin (si NetBackup est installé sur le lecteur C :\)

2. Limitez ce répertoire nouvellement créé aux seuls utilisateurs administratifs.

Questionne

Pour toute question ou problème concernant ces vulnérabilités, veuillez contacter le support technique de Veritas (https://www.veritas.com/support/fr_FR/contact-us)

Démenti

L’AVIS DE SÉCURITÉ EST FOURNI « EN L’ÉTAT » ET TOUTES LES CONDITIONS, DÉCLARATIONS ET GARANTIES EXPRESSES OU IMPLICITES, Y COMPRIS TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER OU D’ABSENCE DE CONTREFAÇON, SONT EXCLUES, SAUF DANS LA MESURE OÙ CES EXCLUSIONS SONT JUGÉES JURIDIQUEMENT INVALIDES. VERITAS TECHNOLOGIES LLC NE SERA PAS RESPONSABLE DES DOMMAGES ACCESSOIRES OU CONSÉCUTIFS LIÉS À LA FOURNITURE, À LA PERFORMANCE OU À L’UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION SONT SUSCEPTIBLES D’ÊTRE MODIFIÉES SANS PRÉAVIS.

Veritas Technologies LLC
2625, promenade Augustine
Santa Clara, Californie 95054