VTS24-001

Avis de sécurité affectant NetBackup sous Windows

Historique des révisions

  • 1.0 : 15 avril 2024 – version initiale
  • 1.1: 8 mai, 2024 – Action recommandée  for 10.0.0.1 and 9.1.0.1

Problème : suppression arbitraire de fichiers

L’agent multithread de NetBackup peut-être utilisé pour procéder à la suppression arbitraire de fichiers protégés

ID de CVE : CVE-2024-33672
Gravité : élevée
Score de base CVSS v3.1 : 7,7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
CWE-427 Élément de chemin de recherche non contrôlé
Composants concernés : serveur principal, serveur de médias et clients (systèmes d’exploitation Windows uniquement)
Versions concernées : 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1, 10.0, 9.1.0.1, 9.1, 8.3.0.2.

Remarque : certaines versions plus anciennes peuvent également être concernées.

Action recommandée :

Prévention : autorisez uniquement les utilisateurs administrateurs locaux à accéder au répertoire boost_interprocess (C:\ProgramData\boost_interprocess)

Remerciements

Veritas tient à remercier la Red Team de Lockheed Martin de lui avoir signalé ce problème.

Questions

Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR/contact-us)

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE.  VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION.  LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054