Revisioni
- 1.0: 28 febbraio 2020, release iniziale
Riepilogo
Veritas System Recovery presenta la vulnerabilità CVE-2020-0601 relativa a Microsoft Windows CryptoAPI.
| Problema | Descrizione | Gravità | Versione corretta |
|---|---|---|---|
1 |
Veritas System Recovery presenta la vulnerabilità CVE-2020-0601 relativa a Microsoft Windows CryptoAPI. |
Critica |
N/D |
Problemi
A febbraio 2020, Microsoft ha pubblicato un avviso di sicurezza relativo a un errore critico in Windows CryptoAPI che consentirebbe a un malintenzionato "di firmare un eseguibile pericoloso utilizzando un certificato con firma del codice falsificato, facendo apparire il file come proveniente da una fonte attentibile e legittima". Ci sono situazioni in cui Veritas System Recovery (VSR) verifica i certificati con firma del codice e, pertanto, si potrebbero subire gli effetti di tale vulnerabilità. Tali situazioni si verificano durante:
- L'installazione iniziale del prodotto
- L'installazione di un aggiornamento del prodotto
- Operazioni da fisico a virtuale con server VMware ESX
Versioni interessate
Tutte le versioni di VSR sono interessate se eseguite su una versione di Windows vulnerabile. Le versioni di Windows 10, Windows Server 2016 e 2019 senza patch sono vulnerabili. Tutte le altre versioni di Windows non sono vulnerabili a questo problema.
Soluzione
L'unico modo per risolvere il problema consiste nell'installare l'aggiornamento Windows di Microsoft che corregge questa vulnerabilità. Non ci saranno aggiornamenti a VSR per risolvere il problema, in quanto la vulnerabilità riguarda Microsoft Windows e non VSR.
Possibili soluzioni
Per tutte e tre le situazioni di vulnerabilità, è possibile evitare alcune attività come soluzione temporanea:
- Non eseguire l'installazione iniziale di VSR su un sistema finché non è stato installato l'aggiornamento di Windows.
- Non installare l'aggiornamento di VSR su un sistema finché non è stato installato l'aggiornamento di Windows.
- Non eseguire un'operazione P2V su un sistema ESX finché non è stato installato l'aggiornamento Windows sul sistema che si sta proteggendo.
Gli utenti possono continuare a eseguire backup e ripristini non P2V su sistemi vulnerabili senza alcun rischio di attivazione della vulnerabilità.
Riferimenti