VTS23-006
Avis de sécurité affectant les clients, les serveurs de médias et les serveurs principaux NetBackup sur le SE Windows
Historique des révisions
- 1.0 : 28 avril 2023 : publication initiale
- 1.1 : 19 mai 2023 : mise à jour des composants affectés et ajout d'informations de correctif
Problème : élévation des privilèges
Une vulnérabilité dans la manière dont le client NetBackup sur le SE Windows valide le chemin d'accès à une DLL avant son chargement pourrait permettre à un utilisateur d'élever ses privilèges et de compromettre le système d'exploitation hôte.
- ID de CVE: CVE-2023-28759
- Gravité : élevée
- Score de base CVSS v3.1 : 8,4 (AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Composants affectés :
- Client, serveur de médias et serveur principal NetBackup installés sur le système d'exploitation Windows.
- Versions affectées : toutes les versions antérieures à la version 10.0
- Action recommandée :
- Mettez à niveau vers la version 10.0 ou ultérieure et aucune autre action ne sera requise.
- Sinon, mettez à niveau vers la version 8.3.0.1 et appliquez le correctif pour Etrack 4115799
- Sinon, mettez à niveau vers la version 8.3.0.2 et appliquez le correctif pour Etrack 4116057
- Sinon, mettez à niveau vers la version 9.0.0.1 et appliquez le correctif pour Etrack 4116060
- Sinon, mettez à niveau vers la version 9.1.0.1 et appliquez le correctif pour Etrack 4115260
- Prévention
- Le problème est limité si les utilisateurs non administrateurs n'ont PAS accès à la création de fichiers dans le chemin de recherche de la DLL.
- Veuillez consulter la documentation Microsoft pour connaître l'ordre de recherche des DLL. https://learn.microsoft.com/fr-fr/windows/win32/dlls/dynamic-link-library-search-order
Questions
Pour toute question ou tout problème concernant cette vulnérabilité, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)
Remerciements
Veritas tient à remercier la Red Team de Lockheed Martin de lui avoir signalé ce problème.
Clause de non-responsabilité
LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054