Veritas System Recovery 中的敏感信息披露漏洞

修订历史记录

1.0：2021 年 9 月 7 日：初始版
1.1：2022 年 10 月 11 日：增加了 CVE ID

摘要

在 Veritas System Recovery (VSR) 中发现了敏感信息披露漏洞。

问题

敏感信息披露漏洞：密码存储在 Windows 注册表中
CVE ID：CVE-2022-41320
严重性：中等
CVSS v3.1 基础评分 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

在备份配置期间，Veritas System Recovery (VSR) 版本 18 和 21 将网络目标位置密码存储在 Windows 注册表中。此漏洞可为 Windows 用户提供充足的权限，让他们可以访问本应无权访问的网络文件系统。

补救措施

签署了当前维护合同的客户可以按照以下说明下载并安装应用程序二进制文件，以补救该漏洞：

如果您使用的是 VSR 18：

确保您的系统已更新至最新 Service Pack VSR 18 SP4，并
为您的操作系统下载更新后的 VProSvc.exe（版本：18.0.4.57090）
使用更新后的版本替换服务器和客户端上的 VProSvc.exe

如果您使用的是 VSR 21：

确保您的系统已更新至最新 Service Pack VSR 21 SP3，并
为您的操作系统下载更新后的 VProSvc.exe（版本：21.0.3.62140）
使用更新后的版本替换服务器和客户端上的 VProSvc.exe

有关可用更新，请查看 Veritas 下载中心：https://www.veritas.com/support/zh_CN/downloads

疑问

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)，或参阅以下文章：100051263。

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054