Security Advisory affecting Backup Exec

Histórico de revisões

• 1.0: 15 de abril de 2024: Versão inicial

Problemas

Problema 1: exclusão arbitrária de arquivo

O Backup Exec Deduplication Multi-threaded Streaming Agent pode ser utilizado para executar exclusão arbitrária de arquivos protegidas.

• ID da CVE: CVE-2024-33671
• Gravidade: Alta
• Pontuação básica do CVSS v3.1: 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• Versões afetadas: 21.0, 21.1, 21.2, 21.3, 21.4, 22.0, 22.1, 22.2
• Ação recomendada: Fazer upgrade para a versão 23.0 (não é necessário nenhum hotfix) ou
  Fazer upgrade para a versão 22.2 e aplicar o hotfix 917391 no Download Center.
• Medida de atenuação: restringir o acesso ao diretório boost_interprocess (C:\ProgramData\boost_interprocess) apenas a usuários administradores

Problema 2: carregamento de DLLs inseguras

Vários problemas envolvendo o carregamento de DLLs inseguras foram tratados neste comunicado.

• ID da CVE: CVE-2024-33673
• Gravidade: Alta
• Pontuação básica do CVSS v3.1: 7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
• Versões afetadas: 21.0, 21.1, 21.2, 21.3, 21.4, 22.0, 22.1, 22.2
• Ação recomendada: Fazer upgrade para a versão 23.0 (não é necessário nenhum hotfix) ou Fazer upgrade para a versão 22.2 e aplicar o hotfix 917391 no Download Center.

Medida de atenuação:

• O problema é atenuado se usuários não administradores NÃO do Windows tiverem acesso à criação de arquivos no caminho de pesquisa da DLL.
• Consulte a documentação da Microsoft para ver a ordem de pesquisa de DLL: https://learn.microsoft.com/pt-br/windows/win32/dlls/dynamic-link-library-search-order

Agradecimento

A Veritas agradece à equipe da Lockheed Martin Red por nos notificar sobre esses problemas.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054