Veritas Alta Recovery Vault 삭제 가속화 취약점

개정 내역

• 1.0: 2024년 5월 1일: 초기 버전
• 1.1: 2024년 5월 7일: CVE ID 추가

요약

Veritas NetBackup 10.3.0.1 및 이전 버전의 Recovery Vault 기능에서 취약점이 발견되었습니다. 거버넌스 모드 이미지의 보존 잠금은 클라우드 관리자만 비활성화할 수 있도록 설계되었습니다. 그러나 이 취약점으로 인해 NetBackup 관리자가 거버넌스 모드에서 백업 만료일을 수정하여 예정보다 빠르게 삭제할 수 있었습니다.

문제

CVE ID: CVE-2024-34404
심각도: 중간
CVSS v3.1 기본 점수 6.8(AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N)
CWE-284: 잘못된 액세스 제어

필수 요건

NetBackup 서버는 클라우드 기반 데이터 보존 서비스에 Veritas Alta Recovery Vault(이전의 NetBackup Recovery Vault)를 사용하도록 구성되었습니다. 그러면 "NetBackup 관리자" 역할의 사용자가 NetBackup 서버에 액세스하고 클라우드 저장소에서 거버넌스 모드 이미지의 만료일을 수정하는 작업을 수행합니다.

영향을 받는 버전

Veritas NetBackup 버전 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1, 10.0, 9.1.0.1

Veritas NetBackup Appliance 버전 5.3.0.1, 5.3, 5.1.1, 5.0, 5.0.0.1, 4.1.0.1

조치

이 취약점은 모든 NetBackup Recovery Vault 클라우드 엔드포인트에서 해결되었습니다. 아래 TechNote에서 설명한 바와 같이 최신 핫픽스를 설치한 Veritas NetBackup Recovery Vault 고객은 추가 조치를 취할 필요가 없습니다. 최신 핫픽스를 설치하지 않은 고객은 설치를 완료한 후에만 예약된 백업을 진행할 수 있습니다.

자세한 내용은 다음 베리타스 TechNote를 참조하십시오.

• https://www.veritas.com/support/ko_KR/article.100065322

질문

이러한 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR)에 문의하시기 바랍니다.

면책 조항

이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다.  Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다.  이 문서의 정보는 예고 없이 변경될 수 있습니다.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054