Veritas Alta Recovery Vault: Sicherheitslücke mit beschleunigtem Löschen

Bisherige Aktualisierungen

• 1.0: 01. Mai 2024: Erste Version
• 1.1: 07. Mai 2024: CVE-ID hinzugefügt

Zusammenfassung

In der Recovery Vault-Funktion von Veritas NetBackup 10.3.0.1 und früheren Versionen wurde eine Sicherheitslücke entdeckt. Grundsätzlich sollte nur der Cloud-Administrator in der Lage sein, die Aufbewahrungssperre für Images im Governance-Modus zu deaktivieren. Diese Sicherheitslücke hat es einem NetBackup-Administrator ermöglicht, den Ablauf von Backups im Governance-Modus zu ändern, was zu einer vorzeitigen Löschung führen konnte.

Problem

CVE ID: CVE-2024-34404
Schweregrad: mittel
CVSS v3.1 Base Score: 6.8 (AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N)
CWE-284: Unzureichende Zugriffskontrolle

Voraussetzungen

Der NetBackup-Server wurde so konfiguriert, dass er Veritas Alta Recovery Vault (früher als NetBackup Recovery Vault bezeichnet) für Cloud-basierte Datenaufbewahrungsdienste verwendet. Ein Benutzer mit der Rolle "NetBackup-Administrator" greift dann auf die NetBackup-Server zu und führt den Vorgang zur Änderung des Ablaufs von Governance-Modus-Images im Cloud-Speicher durch.

Betroffene Versionen

Veritas NetBackup-Versionen 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1, 10.0, 9.1.0.1

Veritas NetBackup Appliance-Versionen 5.3.0.1, 5.3, 5.1.1, 5.0, 5.0.0.1, 4.1.0.1

Behebung

Diese Sicherheitslücke wurde bereits auf allen NetBackup Recovery Vault-Cloud-Endgeräten geschlossen. Veritas NetBackup Recovery Vault-Kunden, die den neuesten HotFix wie im folgenden technischen Hinweis beschrieben installiert haben, müssen keine weiteren Maßnahmen ergreifen. Kunden, die den neuesten HotFix nicht installiert haben, müssen dies sofort tun, damit geplante Backups fortgesetzt werden können.

Weitere Informationen finden Sie im technischen Hinweis von Veritas:

• https://www.veritas.com/support/de_DE/article.100065322

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE).

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND.  VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION.  DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA