VTS24-001

Security Advisory relativo a NetBackup su Windows

Cronologia delle revisioni

  • 1.0: 15 aprile 2024: versione iniziale
  • 1.1: 8 maggio 2024: Azione consigliata for 10.0.0.1 and 9.1.0.1

Problema: eliminazione arbitraria dei file

L'agente multi-threaded in NetBackup può essere usato per eliminare file protetti in modo arbitrario.

ID CVE: CVE-2024-33672
Gravità: alta
Punteggio base CVSS v3.1: 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
CWE-427: elemento del percorso di ricerca non controllato
Componenti interessati: solo su sistemi operativi Microsoft Windows, server primari, media server e client
Versioni interessate: 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1, 10.0, 9.1.0.1, 9.1, 8.3.0.2.

Nota: potrebbero essere interessante anche le versioni meno recenti e non supportate.

Azione consigliata:

Mitigazione: limita l'accesso alla directory boost_interprocess (C:\ProgramData\boost_interprocess) solo agli amministratori locali

Riconoscimenti

Veritas desidera ringraziare il Lockheed Martin Red Team per aver segnalato questo problema.

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il Supporto Tecnico Veritas (https://www.veritas.com/support/it_IT/contact-us).

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE.  VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE.  LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054