Avis de sécurité affectant Backup Exec

Historique des révisions

• 1.0 : 15 avril 2024 – version initiale

Problèmes

Problème 1 : suppression arbitraire de fichiers

L’agent de diffusion multithread de déduplication de Backup Exec peut-être utilisé pour procéder à la suppression arbitraire de fichiers protégés.

• ID CVE : CVE-2024-33671
• Gravité : élevée
• Score de base CVSS v3.1 : 7,7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• Versions concernées : 21.0, 21.1, 21.2, 21.3, 21.4, 22.0, 22.1, 22.2
• Action recommandée : effectuez une mise à niveau vers la version 23.0 (aucun correctif nécessaire) ou
  Effectuez une mise à niveau vers la version 22.2 et appliquez le correctif 917391 disponible dans le Centre de téléchargement.
• Prévention : autorisez uniquement l’accès au répertoire boost_interprocess (C:\ProgramData\boost_interprocess) aux utilisateurs administrateurs locaux

Problème 2 : chargement de DLL non sécurisées

Cet avis concerne plusieurs problèmes liés au chargement de DLL non sécurisées.

• ID CVE : CVE-2024-33673
• Gravité : élevée
• Score de base CVSS v3.1 : 7,8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
• Versions concernées : 21.0, 21.1, 21.2, 21.3, 21.4, 22.0, 22.1, 22.2
• Action recommandée : effectuez une mise à niveau vers la version 23.0 (aucun correctif nécessaire) ou

Effectuez une mise à niveau vers la version 22.2 et appliquez le correctif 917391 disponible dans le Centre de téléchargement.

Prévention :

• Il est possible de limiter le problème en EMPÊCHANT les utilisateurs non-administrateurs de créer des fichiers dans le chemin recherche de la DLL.
• Veuillez consulter la documentation Microsoft pour connaître l’ordre de recherche des DLL. https://learn.microsoft.com/fr-fr/windows/win32/dlls/dynamic-link-library-search-order

Remerciements

Veritas tient à remercier la Red Team de Lockheed Martin de lui avoir signalé ce problème.

Questions

Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L’ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D’ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L’UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L’OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054