VTS23-020

Veritas eDiscovery Platform – Sicherheitslücke beim Hochladen von Dateien

Bisherige Aktualisierungen

  • 1.0: 12. Februar 2024: Erste Version
  • 1.1: 22. Februar 2024: CVE-ID hinzugefügt

Zusammenfassung

In Veritas eDiscovery Platform Version 10.2.4 und älter wurde eine Sicherheitslücke entdeckt, die dem Anwendungsadministrator ermöglicht, potenziell bösartige Dateien in beliebige Speicherorte auf dem Server hochzuladen, auf dem die Anwendung installiert ist.

Problem

CVE-ID: CVE-2024-27283

Schweregrad: hoch

CVSS v3.1 Base Score: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

CWE-434: Uneingeschränkter Upload von Datei mit gefährlichem Dateityp

Voraussetzungen

Ein Benutzer mit der Rolle „Systemmanager“ greift auf die eDiscovery Platform-Webanwendung.

Betroffene Versionen

Veritas eDiscovery Platform Versionen 10.1, 10.2, 10.2.1, 10.2.2, 10.2.3, 10.2.4. Nicht unterstützte ältere Versionen von Veritas eDiscovery Platform können ebenfalls betroffen sein.

Behebung

Kunden mit einem aktuellen Wartungsvertrag sollten wie nachfolgend beschrieben auf Veritas eDiscovery Platform aktualisieren:

  • Version 10.1 auf Version 10.2 aktualisieren und das Update 10.2.5 anwenden.
  • Update 10.2.5 auf Version 10.2.x aktualisieren.

Verfügbare Aktualisierungen finden Sie im Veritas Download Center: https://www.veritas.com/support/de_DE/downloads

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE).

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND.  VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION.  DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA