VTS24-001

Aviso de seguridad que afecta a NetBackup en Windows

Historial de revisiones

  • 1.0: 15 de abril de 2024: versión inicial
  • 1.1: 8 de mayo de 2024: Acción recomendada for 10.0.0.1 and 9.1.0.1

Problema: eliminación de archivos arbitrarios

El agente de múltiples subprocesos utilizado en NetBackup puede aprovecharse para realizar una eliminación de archivos arbitrarios en archivos protegidos.

Id. de CVE: CVE-2024-33672
Gravedad: alta
Puntaje de base del CVSS v3.1: 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Elemento de ruta de búsqueda no controlada
Componentes afectados: solo en sistemas operativos Microsoft Windows: servidor principal, servidor de soportes y clientes.
Versiones afectadas: 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1, 10.0, 9.1.0.1, 9.1, 8.3.0.2.

Nota: Las versiones anteriores no compatibles también pueden verse afectadas.

Acción recomendada:

Mitigación: restringir el acceso al directorio boost_interprocess (C:\ProgramDataboost_interprocess) solo a usuarios administradores locales.

Reconocimiento

Veritas desea agradecer a Lockheed Martin Red Team por notificarnos sobre este problema.

Preguntas

Si tiene preguntas o problemas relacionados con estas vulnerabilidades, contáctese con el Soporte Técnico de Veritas (https://www.veritas.com/support/es_ES/contact-us)

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS, EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL.  VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN.  LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054