Vulnerabilidade na divulgação de informações confidenciais no Veritas System Recovery

Histórico de Revisões

1:0: 7 de setembro de 2021: versão inicial
1.1: 11 de outubro de 2022: ID do CVE adicionado

Resumo

Uma vulnerabilidade na divulgação de informações confidenciais foi encontrada no Veritas System Recovery (VSR).

Problema

Vulnerabilidade na divulgação de informações confidenciais: senha armazenada no registro do Windows
ID da CVE: CVE-2022-41320
Gravidade: Média
Pontuação básica do CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

As versões 18 e 21 do Veritas System Recovery (VSR) armazenam uma senha de destino de rede no registro do Windows durante a definição da configuração de backup. Essa vulnerabilidade poderia permitir que um usuário do Windows que tenha privilégios suficientes acesse um sistema de arquivos de rede ao qual ele não tem autorização de acesso.

Correção

Clientes com um contrato de manutenção atual podem fazer o download de binários de aplicativos que mitigam essa vulnerabilidade e instalá-los, conforme descrito abaixo:

Se você tem o VSR 18:

Certifique-se de que seu sistema tenha sido atualizado com o pack service SP4 mais recente do VSR 18 e
Faça o download do VProSvc.exe atualizado (Versão: 18.0.4.57090 ) para seu sistema operacional
Substitua o VProSvc.exe no seu servidor e em clientes pela versionSubst atualizada

Se você tem o VSR 21:

Certifique-se de que seu sistema tenha sido atualizado com o pack service SP3 mais recente do VSR 21 e
Faça o download do VProSvc.exe atualizado (Versão: 21.0.3.62140 ) para seu sistema operacional
Substitua o VProSvc.exe no seu servidor e em clientes pela versão atualizada

Consulte o Veritas Download Center para ver quais são as atualizações disponíveis: https://www.veritas.com/support/pt_BR/downloads

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR) ou consulte o Artigo 100051263.

Isenção de responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054