Backup Exec에 영향을 미치는 보안 권고

개정 내역

• 1.0: 2024년 4월 15일: 초기 버전

문제

문제 1: 임의 파일 삭제

Backup Exec Deduplication Multi-threaded Streaming Agent를 이용하면 보호되는 파일을 대상으로 임의 파일 삭제를 수행할 수 있습니다.

• CVE ID: CVE-2024-33671
• 심각도: 높음
• CVSS v3.1 기본 점수 7.7(AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• 영향을 받는 버전: 21.0, 21.1, 21.2, 21.3, 21.4, 22.0, 22.1, 22.2
• 권장 조치: 버전 23.0으로 업그레이드하거나(핫픽스가 필요하지 않음)
  버전 22.2로 업그레이드하고 다운로드 센터에서 핫픽스 917391을 적용합니다.
• 완화책: boost_interprocess 디렉터리(C:\ProgramData\boost_interprocess)에 대한 액세스를 로컬 관리자인 사용자로 제한합니다.

문제 2: 안전하지 않은 DLL 불러오기

이 권고에서는 안전하지 않은 DLL 불러오기와 관련된 몇 가지 문제가 해결되었습니다.

• CVE ID: CVE-2024-33673
• 심각도: 높음
• CVSS v3.1 기본 점수 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
• 영향을 받는 버전: 21.0, 21.1, 21.2, 21.3, 21.4, 22.0, 22.1, 22.2
• 권장 조치: 버전 23.0으로 업그레이드하거나(핫픽스가 필요하지 않음) 버전 22.2로 업그레이드하고 다운로드 센터에서 핫픽스 917391을 적용합니다.

완화책:

• 관리자가 아닌 Windows 사용자에게 DLL 검색 경로에서 파일을 생성할 액세스 권한이 없으면 문제가 완화됩니다.
• DLL 검색 순서는 Microsoft 문서를 참조하십시오. https://learn.microsoft.com/ko-kr/windows/win32/dlls/dynamic-link-library-search-order

감사의 말

베리타스는 이 문제에 대해 알려 주신 Lockheed Martin 레드 팀에 감사드립니다.

질문

이러한 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR)에 문의하시기 바랍니다.

면책 조항

이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다. Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054