Sicherheitsempfehlung zu Backup Exec

Bisherige Aktualisierungen

• 1.0: 15. April 2024: Erste Version

Probleme

Problem 1: Willkürliches Löschen von Dateien

Der Backup Exec Deduplication Multi-threaded Streaming Agent kann dazu genutzt werden, geschützte Dateien willkürlich zu löschen.

• CVE-ID: CVE-2024-33671
• Schweregrad: hoch
• CVSS v3.1 Base Score 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• Betroffene Versionen: 21.0, 21.1, 21.2, 21.3, 21.4, 22.0, 22.1, 22.2
• Empfohlene Maßnahmen: Upgrade auf Version 23.0 (kein HotFix erforderlich) oder
  Upgrade auf Version 22.2 und Anwendung von HotFix 917391 vom Download Center.
• Gegenmaßnahme: Beschränkung des Zugriffs auf das Verzeichnis „boost_interprocess“ (C:\ProgramData\boost_interprocess) auf lokale Administratoren

Problem 2: Laden von unsicheren DLLs

In dieser Empfehlung wurden mehrere Probleme im Zusammenhang mit dem Laden von unsicheren DLLs angesprochen.

• CVE-ID: CVE-2024-33673
• Schweregrad: hoch
• CVSS v3.1 Base Score 7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
• Betroffene Versionen: 21.0, 21.1, 21.2, 21.3, 21.4, 22.0, 22.1, 22.2
• Empfohlene Maßnahmen: Upgrade auf Version 23.0 (kein HotFix erforderlich) oder

Upgrade auf Version 22.2 und Anwendung von HotFix 917391 vom Download Center.

Gegenmaßnahme:

• Die Gegenmaßnahme für dieses Problem besteht darin, dass Windows-Benutzer, die keine Administratoren sind, KEINEN Zugriff haben, um Dateien im DLL-Suchpfad zu erstellen.
• Weitere Informationen finden Sie in der Microsoft-Dokumentation zur DLL-Suchreihenfolge: https://learn.microsoft.com/de-de/windows/win32/dlls/dynamic-link-library-search-order

Danksagung

Veritas möchte sich beim Lockheed Martin Red-Team dafür bedanken, dass es uns über diese Probleme informiert hat.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE).

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA