개정 내역
- 1.0: 2021년 9월 7일: 초기 버전
- 1.1: 2022년 10월 11일: CVE ID 추가
요약
Veritas System Recovery(VSR)에서 민감한 정보 공개 취약점이 발견되었습니다.
문제
- 민감한 정보 공개 취약점: Windows 레지스트리에 저장된 암호
- CVE ID: CVE-2022-41320
- 심각도: 중간
- CVSS v3.1 기본 점수 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Veritas System Recovery(VSR) 버전 18 및 21에서는 백업 구성 중에 네트워크 대상 암호를 Windows 레지스트리에 저장합니다. 이 취약점으로 인해 네트워크 파일 시스템에 대한 액세스 권한이 있는 Windows 사용자가 액세스 권한이 없는 암호에 액세스할 수 있습니다.
교정
현행 유지 보수 계약을 체결한 고객은 아래에 설명된 대로 이 취약점을 완화하는 애플리케이션 바이너리를 다운로드 및 설치할 수 있습니다.
- VSR 18 사용자:
- 시스템이 최신 서비스 팩 VSR 18 SP4로 업데이트되었는지 확인합니다.
- 운영 체제용 VProSvc.exe 업데이트 버전(버전: 18.0.4.57090 )을 다운로드합니다.
- 서버와 클라이언트의 VProSvc.exe를 업데이트된 버전으로 교체합니다.
- VSR 21 사용자:
- 시스템이 최신 서비스 팩 VSR 21 SP3로 업데이트되었는지 확인합니다.
- 운영 체제용 VProSvc.exe 업데이트 버전(버전: 21.0.3.62140 )을 다운로드합니다.
- 서버와 클라이언트의 VProSvc.exe를 업데이트된 버전으로 교체합니다.
이용 가능한 업데이트는 베리타스 다운로드 센터(https://www.veritas.com/support/ko_KR/downloads)를 참조하십시오.
질문
이러한 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR)에 문의하거나 문서 ID 100051263을 참조하시기 바랍니다.
면책 조항
이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다. Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054