Avviso di sicurezza relativo a NetBackup su Windows

Cronologia delle revisioni

• 1.0: 4 novembre 2024: versione iniziale
• 2.0: 26 novembre 2024: aggiunti ulteriori hotfix

Problema: vulnerabilità legata all'escalation dei privilegi in NetBackup su Windows

Il server primario, il server multimediale e i client Veritas NetBackup in esecuzione su sistema operativo Windows sono vulnerabili a un attacco che potrebbe essere utilizzato per aumentare i privilegi.

Questo attacco richiede che l'utente malintenzionato disponga dell'accesso in scrittura all'unità radice in cui è installato NetBackup, consentendogli di installare una DLL dannosa. Se un utente esegue comandi NetBackup specifici o un utente malintenzionato utilizza tecniche di ingegneria sociale per spingere l'utente a eseguire i comandi, la DLL dannosa potrebbe essere caricata, con conseguente esecuzione del codice dell'utente malintenzionato nel contesto di sicurezza dell'utente.

Nota: Questo vale solo per i componenti NetBackup in esecuzione su un sistema operativo Windows.

identificativo CVE: CVE-2024-52945
Gravità: Alta
Punteggio base CVSS v3.1 7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
CWE-427 - Elemento del percorso di ricerca incontrollato

Componenti interessati: Componenti del client NetBackup, del server primario e del server multimediale

Versioni interessate: 10.4.0.1, 10.4, 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1 e 10.0. Anche le versioni precedenti non supportate potrebbero essere interessate.

Azione consigliata:

• Aggiornamento a NetBackup versione 10.5 o
• Eseguire l'aggiornamento a NetBackup versione 10.4.0.1 e applicare Aggiornamento rapido (hotfix) Dal centro download
• Eseguire l'aggiornamento a NetBackup versione 10.3.0.1 e applicare Aggiornamento rapido (hotfix) Dal centro download
• Eseguire l'aggiornamento a NetBackup versione 10.2.0.1 e applicare Aggiornamento rapido (hotfix) dall'area download per i client. Per il server primario e multimediale, utilizzare i passaggi di mitigazione alternativa elencati di seguito.
• Eseguire l'aggiornamento a NetBackup versione 10.1.1 e applicare Aggiornamento rapido (hotfix) dall'area download per i client. Per il server primario e multimediale, utilizzare i passaggi di mitigazione alternativa elencati di seguito.

Mitigazione alternativa:

1. Creare una directory denominata "bin" sotto l'unità principale in cui è installato NetBackup. Se questa directory è preesistente, procedere al passaggio 2.

• Esempio: C:\bin (se NetBackup è installato nell'unità C:\)

2. Limitare questa directory appena creata solo agli utenti amministrativi.

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare l'assistenza tecnica Veritas (https://www.veritas.com/support/it_IT/contact-us)

Disconoscimento

L'AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI, LE DICHIARAZIONI E LE GARANZIE ESPLICITE O IMPLICITE, INCLUSA QUALSIASI GARANZIA IMPLICITA DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO PARTICOLARE O NON VIOLAZIONE, SONO ESCLUSE, SALVO NELLA MISURA IN CUI TALI ESCLUSIONI DI RESPONSABILITÀ SIANO RITENUTE LEGALMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON SARÀ RESPONSABILE PER DANNI ACCIDENTALI O CONSEQUENZIALI IN RELAZIONE ALLA FORNITURA, ALLE PRESTAZIONI O ALL'USO DI QUESTA DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE IN QUESTA DOCUMENTAZIONE SONO SOGGETTE A MODIFICHE SENZA PREAVVISO.

Veritas Tecnologie LLC
2625 Strada di Agostino
Santa Clara, CA 95054