VTS24-001

Comunicado de segurança que afeta o NetBackup no Windows

Histórico de revisões

  • 1.0: 15 de abril de 2024: Versão inicial
  • 1.1: 8 de maio 2024: Ação recomendadan for 10.0.0.1 and 9.1.0.1

Problema: exclusão arbitrária de arquivos

O agente de múltiplos segmentos usado no NetBackup pode ser utilizado para executar exclusão arbitrária de arquivos protegidas.

ID da CVE: CVE-2024-33672
Gravidade: Alta
Pontuação básica do CVSS v3.1: 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
CWE-427: Elemento de caminho de pesquisa incontrolável
Componentes afetados somente em sistemas operacionais Microsoft Windows: servidores primários, servidores de mídia e clientes
Versões afetadas: 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1, 10.0, 9.1.0.1, 9.1, 8.3.0.2.

Observação: versões não suportadas mais antigas também podem ser afetadas.

Ação recomendada:

Medida de atenuação: restringir o acesso ao diretório boost_interprocess (C:\ProgramData\boost_interprocess) apenas a usuários administradores

Agradecimento

A Veritas agradece à equipe da Lockheed Martin Red por nos notificar sobre o problema.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR/contact-us).

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS.  A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO.  AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054