Aviso de seguridad que afecta a Backup Exec

Historial de revisiones

• 1.0: 15 de abril de 2024: versión inicial

Problemas

Problema n.° 1: eliminación de archivos arbitrarios

El agente de transmisión de múltiples subprocesos de duplicación de Backup Exec se puede aprovechar para realizar la eliminación de archivos arbitrarios en archivos protegidos.

• Id. de CVE: por anunciar
• Gravedad: alta
• Puntaje de base del CVSS v3.1: 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• Versiones afectadas: 21.0, 21.1, 21.2, 21.3, 21.4, 22.0, 22.1, 22.2
• Acción recomendada: actualice a la versión 23.0 (no necesita corrección) o
  actualice a la versión 22.2 y aplique la corrección 917391 desde el Centro de descargas.
• Mitigación: restringir el acceso al directorio boost_interprocess (C:\ProgramDataboost_interprocess) solo a usuarios administradores locales.

Problema 2: carga de DLL inseguros

Este aviso aborda varios problemas relacionados con la carga de DLL inseguros.

• Id. de CVE: por anunciar
• Gravedad: alta
• Puntaje base del CVSS v3.1: 7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
• Versiones afectadas: 21.0, 21.1, 21.2, 21.3, 21.4, 22.0, 22.1, 22.2
• Acción recomendada: actualice a la versión 23.0 (no necesita corrección) o actualice a la versión 22.2 y aplique la corrección 917391 desde el Centro de descargas.

Mitigación:

• El problema se mitiga si los usuarios de Windows que no son administradores NO tienen acceso para crear archivos en la ruta de búsqueda del DLL.
• Consulte la documentación de Microsoft para conocer el orden de búsqueda del DLL: https://learn.microsoft.com/es-mx/windows/win32/dlls/dynamic-link-library-search-order

Reconocimiento

Veritas desea agradecer a Lockheed Martin Red Team por notificarnos sobre estos problemas.

Preguntas

Si tiene preguntas o problemas relacionados con estas vulnerabilidades, contáctese con el Soporte Técnico de Veritas (https://www.veritas.com/support/es_ES)

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA “TAL CUAL ESTÁ”, Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, DECLARACIONES Y GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O AUSENCIA DE INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS INCIDENTALES O CONSECUENTES RELACIONADOS CON LA ENTREGA, LA EJECUCIÓN O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054