Histórico de Revisões

• 1.0: 23 de dezembro de 2020: Versão inicial
• 1.1: 8 de janeiro de 2021: adicionada ID da CVE ID, link para Download Center

Resumo

Como parte de nosso processo contínuo de testes, a Veritas descobriu um problema em que o Veritas Desktop and Laptop Option (DLO) podia permitir que um invasor executasse códigos arbitrários com privilégio de administrador.

Problema

ID do CVE: CVE-2020-36165
Gravidade: Importante
Pontuação básica CVSS v3.1: 9.3 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)

Durante a inicialização, o Veritas Desktop and Laptop Option (DLO) carrega a biblioteca OpenSSL a partir de /ReleaseX64/ssl. Essa biblioteca tenta carregar o arquivo de configuração /ReleaseX64/ssl/openssl.cnf, que não existe. Por padrão, em sistemas Windows, os usuários podem criar diretórios em C:\. Um usuário com menos privilégios no sistema Windows e sem privilégios no DLO pode criar um arquivo de configuração C:/ReleaseX64/ssl/openssl.cnf para carregar um mecanismo OpenSSL malicioso, resultando na execução de códigos arbitrários como SYSTEM quando o serviço é iniciado. Isso concede ao administrador invasor acesso ao sistema, permitindo que ele (por padrão) acesse todos os dados, acesse todos os aplicativos instalados etc.

Essa vulnerabilidade afeta o servidor do DLO e instalações clientes.

Versões afetadas

Veritas Desktop and Laptop Option (DLO) versões 9.3.3, 9.3.2, 9.3.1, 9.3, 9.2, 9.1, 9.0.1 e 9.0. Versões anteriores não suportadas também podem ser afetadas.

Correção

Clientes com um contrato de manutenção atual pode fazer o download do Veritas Desktop and Laptop Option versão 9.5 e instalá-lo para corrigir a vulnerabilidade.

Consulte o Veritas Download Center para ver quais são as atualizações disponíveis: https://www.veritas.com/support/pt_BR/downloads

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).