リビジョン履歴

• 1.0: 2024 年 4 月 15 日: 初回バージョン
• 1.1: M2024 年 5 月 8 日: 対処方法 10.0.0.1 and 9.1.0.1

問題: 任意のファイル削除の脆弱性

NetBackup で使用されているマルチスレッドエージェントが、保護されているファイル上での任意のファイル削除の実行に利用されてしまう可能性があります。

CVE ID: CVE-2024-33672

重大度: 高

CVSS v3.1 基本スコア 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)

CWE-427 制御されていない検索パスの要素

影響を受けるコンポーネント: Microsoft Windows オペレーティングシステム上のみ - プライマリサーバー、メディアサーバー、およびクライアント

影響を受けるバージョン: 10.3.0.1、10.3、10.2.0.1、10.2、10.1.1、10.1、10.0.0.1、10.0、9.1.0.1、9.1、8.3.0.2

注: それ以前のすでにサポート対象外のバージョンも影響を受ける可能性があります。

対処方法:

• バージョン 10.4 にアップグレードする (EEB は不要) か、または
• バージョン 10.3.0.1 にアップグレードし、ダウンロードセンターから 10.3.0.1 EEB を入手して適用するか、または
• バージョン 10.2.0.1 にアップグレードし、ダウンロードセンターから 10.2.0.1 EEB を入手して適用するか、または
• バージョン 10.1.1 にアップグレードし、ダウンロードセンターから 10.1.1 EEB を入手して適用する

緩和策: boost_interprocess ディレクトリ (C:\ProgramData\boost_interprocess) へのアクセスをローカル管理者ユーザーのみに制限してください。

謝辞

この問題を弊社にご報告いただいた Lockheed Martin Red Team に感謝いたします。

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP/contact-us) にお問い合わせください。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054