Vulnerabilità relativa all'eliminazione accelerata in Veritas Alta Recovery Vault

Cronologia delle revisioni

• 1.0: 1° maggio 2024: versione iniziale
• 1.1: 7 maggio 2024: aggiunto ID CVE

Riepilogo

Abbiamo rilevato una vulnerabilità nella funzionalità Recovery Vault di Veritas NetBackup 10.3.0.1 e versioni precedenti. Per impostazione predefinita, solo l'amministratore cloud è in grado di disabilitare il blocco della conservazione delle immagini in modalità Governance. Questa vulnerabilità ha permesso all'amministratore di NetBackup di modificare la scadenza dei backup in modalità Governance, causandone la possibile eliminazione prematura.

Problema

ID CVE: CVE-2024-34404
Gravità: media
Punteggio base CVSS v3.1: 6.8 (AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N)
CWE-284: Controllo degli accessi errato

Prerequisiti

Il server di NetBackup è stato configurato per utilizzare Veritas Alta Recovery Vault (in precedenza NetBackup Recovery Vault) per i servizi di conservazione di dati basati sul cloud. Un utente con ruolo di Amministratore di NetBackup accede ai server di NetBackup e procede con la modifica la scadenza delle immagini in modalità Governance nell'archiviazione cloud.

Versioni interessate

Versioni di Veritas NetBackup: 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1, 10.0, 9.1.0.1

Versioni di Veritas NetBackup Appliance: 5.3.0.1, 5.3, 5.1.1, 5.0, 5.0.0.1, 4.1.0.1

Riparazione

Questa vulnerabilità è già stata riparata su tutti gli endpoint cloud di NetBackup Recovery Vault. I clienti di Veritas NetBackup Recovery Vaultche hanno installato l'hotfix più recente, come decritto nella nota tecnica riportata di seguito, non dovranno eseguire ulteriori azioni. I clienti che non hanno installato l'hotfix più recente, devono farlo subito per permettere ai backup programmati di proseguire.

Per ulteriori informazioni, consultare la nota tecnica di Veritas:

• https://www.veritas.com/support/it_IT/article.100065322

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il Supporto Tecnico Veritas (https://www.veritas.com/support/it_IT).

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE.  VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE.  LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054