VTS24-004

Vulnerabilidad de eliminación acelerada de Veritas Alta Recovery Vault

Historial de revisiones

1.0: 1 de mayo de 2024: versión inicial
1.1: 7 de mayo de 2024; se agregó la id. de CVE

Resumen

Se ha descubierto una vulnerabilidad en la función Recovery Vault de Veritas NetBackup 10.3.0.1 y versiones anteriores. Por diseño, solo el administrador de la nube debería poder desactivar el bloqueo de retención de las imágenes en modo Gobernanza. Esta vulnerabilidad permitía a un administrador de NetBackup modificar la caducidad de las copias de seguridad en modo Gobernanza, lo que podía provocar una eliminación prematura.

Problema

Id. de CVE: CVE-2024-34404
Gravedad: media
Puntaje base del CVSS v3.1: 6.8 (AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N)
CWE-284: control de acceso inadecuado

Requisitos previos

El servidor NetBackup se ha configurado para utilizar Veritas Alta Recovery Vault (anteriormente conocido como NetBackup Recovery Vault) para los servicios de retención de datos basados en la nube. A continuación, un usuario con el rol "Administrador de NetBackup" accede a los servidores de NetBackup y realiza la operación para modificar la caducidad de las imágenes del modo Gobernanza en el almacenamiento en la nube.

Versiones afectadas

Versiones de Veritas NetBackup: 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1, 10.0, 9.1.0.1

Versiones de Veritas NetBackup Appliance: 5.3.0.1, 5.3, 5.1.1, 5.0, 5.0.0.1, 4.1.0.1

Reparación

Esta vulnerabilidad ya se ha corregido en todos los endpoints de la nube de NetBackup Recovery Vault. Los clientes de Veritas NetBackup Recovery Vault que hayan instalado la última corrección tal y como se describe en la siguiente nota técnica no necesitan realizar más acciones. Los clientes que no hayan instalado la última corrección deben hacerlo inmediatamente para que continúen las copias de seguridad programadas.

Para obtener más información, consulte la nota técnica de Veritas:

https://www.veritas.com/support/es_ES/article.100065322

Preguntas

Si tiene preguntas o problemas relacionados con estas vulnerabilidades, contáctese con el Soporte Técnico de Veritas (https://www.veritas.com/support/es_ES)

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS, EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL.  VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN.  LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054