Security Advisory relativo a client con sistema operativo NetBackup Windows

VTS23-006

Security Advisory relativo a server primari, server dei contenuti multimediali e client con sistema operativo NetBackup Windows

Cronologia delle revisioni

1.0: 28 aprile 2023, versione iniziale
1.1: 19 maggio 2023, aggiornamento relativo ai componenti interessati e aggiunta di informazioni sugli hotfix

Problema: escalation dei privilegi

Una vulnerabilità nel modo in cui il client con sistema operativo NetBackup Windows convalida il percorso a una DLL prima del caricamento potrebbe consentire a un utente di elevare i privilegi e compromettere il sistema operativo.

CVE ID: CVE-2023-28759
Gravità: alta
Punteggio base CVSS v3.1: 8,4 (AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Componenti interessati:
- Server primario, server dei contenuti multimediali e client NetBackup installati su sistema operativo.
Versioni interessate: tutte le versioni precedenti alla 10.0
Azioni consigliate:
- Upgrade alla versione 10.0 o successiva; nessun'altra azione necessaria.
- Oppure upgrade alla versione 8.3.0.1 e applicazione dell'hotfix per Etrack 4115799
- Oppure upgrade alla versione 8.3.0.2 e applicazione dell'hotfix per Etrack 4116057
- Oppure upgrade alla versione 9.0.0.1 e applicazione dell'hotfix per Etrack 4116060
- Oppure upgrade alla versione 9.1.0.1 e applicazione dell'hotfix per Etrack 4115260
Possibile soluzione
- Il problema ha un impatto ridotto se gli utenti che non hanno ruolo di amministratore NON hanno accesso ai file nel percorso di ricerca della libreria di collegamento dinamico.
- Consultare la documentazione Microsoft per l'ordine di ricerca della libreria di collegamento dinamico. https://learn.microsoft.com/it-it/windows/win32/dlls/dynamic-link-library-search-order

Domande

Per domande o problemi relativi a questa vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT)

Riconoscimenti

Veritas desidera ringraziare il Lockheed Martin Red Team per aver segnalato questo problema.

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054