VTS23-006
Comunicado de Segurança que afeta Servidores Primários, Servidores de Mídia e Clientes NetBackup Windows OS
Histórico de revisões
- 1.0: 28 de abril de 2023, versão inicial
- 1.1: 19 de maior de 2023 – Atualização dos componentes afetados e informações de hotfix adicionadas
Problema: Escalação de privilégios
Uma vulnerabilidade na forma como o cliente NetBackup Windows OS valida o caminho para uma DLL antes do carregamento pode permitir que um usuário aumente os privilégios e comprometa o sistema operacional do host.
- ID do CVE:CVE-2023-28759
- Gravidade: Alta
- Pontuação básica do CVSS v3.1: 8.4 (AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Componentes impactados:
- Servidor Primário, servidor de Mídia e cliente do NetBackup instalado em sistemas operacionais Windows.
- Versões afetadas: todas as anteriores à 10.0
- Ação recomendada:
- Upgrade para 10.0 ou mais recente, e nenhuma outra ação é necessária.
- Ou upgrade para a versão 8.3.0.1 e aplicação do Hotfix para Etrack 4115799
- Ou upgrade para a versão 8.3.0.2 e aplicação do Hotfix para Etrack 4116057
- Ou upgrade para a versão 9.0.0.1 e aplicação do Hotfix para Etrack 4116060
- Ou upgrade para a versão 9.0.0.1 e aplicação do Hotfix para Etrack 4115260
- Atenuação
- O problema é atenuado se usuários não administradores NÃO tiverem acesso à criação de arquivos no caminho de pesquisa da DLL.
- Consulte a documentação da Microsoft para ver a ordem de pesquisa de DLL. https://learn.microsoft.com/pt-br/windows/win32/dlls/dynamic-link-library-search-order
Dúvidas
Em caso de dúvidas ou problemas relacionados a essa vulnerabilidade, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR)
Agradecimento
A Veritas agradece à equipe da Lockheed Martin Red por nos notificar sobre o problema.
Isenção de responsabilidade
O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054