Security Advisory relativo a Backup Exec

Cronologia delle revisioni

• 1.0: 15 aprile 2024: versione iniziale

Problemi

Problema 1: eliminazione arbitraria dei file

Backup Exec Deduplication Multi-threaded Streaming Agent può essere usato per eliminare file protetti in modo arbitrario.

• ID CVE: CVE-2024-33671
• Gravità: alta
• Punteggio base CVSS v3.1: 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• Versioni interessate: 21.0, 21.1, 21.2, 21.3, 21.4, 22.0, 22.1, 22.2
• Azione consigliata: eseguire l'upgrade alla versione 23.0 (hotfix non necessario) oppure
  eseguire l'upgrade alla versione 22.2 e applicare l' hotfix 917391 dal centro di download.
• Possibile soluzione: limita l'accesso alla directory boost_interprocess (C:\ProgramData\boost_interprocess) solo agli amministratori locali

Problema 2: caricamento di DLL non sicure

In questo avviso vengono risolti vari problemi relativi al caricamento di DLL non sicure.

• ID CVE: CVE-2024-33673
• Gravità: alta
• Punteggio base CVSS v3.1: 7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
• Versioni interessate: 21.0, 21.1, 21.2, 21.3, 21.4, 22.0, 22.1, 22.2
• Azione consigliata: eseguire l'upgrade alla versione 23.0 (hotfix non necessario) oppure eseguire l'upgrade alla versione 22.2 e applicare l' hotfix 917391 dal centro di download.

Possibile soluzione:

• Il problema ha un impatto ridotto se gli utenti che non hanno ruolo di amministratore Windows NON hanno accesso ai file nel percorso di ricerca della libreria di collegamento dinamico.
• Consultare la documentazione Microsoft per l'ordine di ricerca della libreria di collegamento dinamico: https://learn.microsoft.com/it-it/windows/win32/dlls/dynamic-link-library-search-order

Riconoscimenti

Veritas desidera ringraziare il Lockheed Martin Red Team per aver segnalato questi problemi.

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il Supporto Tecnico Veritas (https://www.veritas.com/support/it_IT).

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054