Backup Exec に影響するセキュリティアドバイザリ

リビジョン履歴

• 1.0: 2022 年 4 月 15 日: 初回バージョン

問題

問題 1: 任意のファイル削除の脆弱性

Backup Exec Deduplication Multi-threaded Streaming Agent が、保護されているファイル上での任意のファイル削除の実行に利用されてしまう可能性があります。

• CVE ID: CVE-2024-33671
• 重大度: 高
• CVSS v3.1 基本スコア 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• 影響を受けるバージョン: 21.0、21.1、21.2、21.3、21.4、22.0、22.1、22.2
• 対処方法: バージョン 23.0 にアップグレードする (ホットフィックスは不要) か、または
  バージョン 22.2 にアップグレードし、ダウンロードセンターからホットフィックス 917391 を入手して適用する。
• 緩和策: boost_interprocess ディレクトリ (C:\ProgramData\boost_interprocess) へのアクセスをローカル管理者ユーザーのみに制限してください。

問題 2: 安全でない DLL 読み込みの脆弱性

このアドバイザリでは、安全でない DLL の読み込みなど、複数の問題に対応しています。

• CVE ID: CVE-2024-33673
• 重大度: 高
• CVSS v3.1 基本スコア 7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
• 影響を受けるバージョン: 21.0、21.1、21.2、21.3、21.4、22.0、22.1、22.2
• 対処方法: バージョン 23.0 にアップグレードする (ホットフィックスは不要) か、または
• バージョン 22.2 にアップグレードし、ダウンロードセンターからホットフィックス 917391 を入手して適用する。

緩和策:

• 管理者ではない Windows ユーザーが DLL 検索パスにファイルを作成するアクセス権を持っていない場合、この問題は緩和されます。
• DLL の検索順序については、Microsoft 社のドキュメント https://learn.microsoft.com/ja-jp/windows/win32/dlls/dynamic-link-library-search-order を参照してください。

謝辞

これらの問題を弊社にご報告いただいた Lockheed Martin Red Team に感謝いたします。

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054