Comunicado de segurança sobre vulnerabilidade que afeta o Access Appliance

Histórico de revisões

• 1.0: 1 de julho de 2024, versão inicial

Problema: Access Appliance afetado pela Vulnerabilidade Use-After-Free no Linux Kernel – CISA KEV CVE-2024-1086

O Linux Kernel contém uma vulnerabilidade Use-After-Free no componente netfilter: nf_tables que permite que um invasor consiga encaminhamento de privilégio local.

ID da CVE: CVE-2024-1086
Gravidade: Média
Pontuação básica do CVSS v3.1: 6.7 (AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
CWE-416 Use After Free
Componentes afetados: Access Appliance - apenas Support Shell

Versões afetadas: 8.2

• Observação: a versão 8.1 e versões anteriores não são afetadas, porque os namespaces de usuários estão desativados, o que impede a exploração.

Ação recomendada:

• Aplicar patch de segurança para o Access Appliance OS 8.2 disponível no Download Center.
  Mitigação alternativa: a ativação de STIG desativa namespaces de usuários, o que impede a exploração.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR/contact-us).

Isenção de responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS.  A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO.  AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054