Vulnerabilidade de exclusão prematura no Veritas Alta Recovery Vault

Histórico de revisões

• 1.0: 1 de maio de 2024: versão inicial
• 1.1: 7 de maio de 2024: inclusão do ID da CVE

Resumo

Foi detectada uma vulnerabilidade no recurso Recovery Vault do Veritas NetBackup 10.3.0.1 e versões anteriores. De acordo com o projeto inicial, apenas o administrador de nuvem poderia desativar o bloqueio de retenção de imagens no modo Governança. Essa vulnerabilidade permitia que um administrador do NetBackup modificasse a expiração dos backups no modo Governança, o que poderia causar exclusão prematura.

Problema

ID da CVE: CVE-2024-34404
Gravidade: Média
Pontuação básica do CVSS v3.1: 6.8 (AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N)
CWE-284: Controle de acesso indevido

Pré-requisitos

O NetBackup Server foi configurado para usar o Veritas Alta Recovery Vault (conhecido anteriormente como NetBackup Recovery Vault) para serviços de retenção de dados baseados na nuvem. Um usuário com a função "administrador do NetBackup" acessa os servidores do NetBackup e executa a operação para modificar a expiração de imagens do modo Governança no armazenamento na nuvem.

Versões afetadas

Versões do Veritas NetBackup: 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1, 10.0, 9.1.0.1

Versões do Veritas NetBackup Appliance: 5.3.0.1, 5.3, 5.1.1, 5.0, 5.0.0.1, 4.1.0.1

Correção

Essa vulnerabilidade já foi corrigida em todos os endpoints na nuvem do NetBackup Recovery Vault. Clientes do Veritas NetBackup Recovery Vault que instalaram o HotFix mais recente, conforme descrito na informação técnica abaixo, não precisam executar nenhuma outra ação. Os clientes que não instalaram o HotFix mais recente precisam fazer isso imediatamente para que os backups programados possam continuar.

Para mais informações, consulte a seguinte nota técnica da Veritas:

• https://www.veritas.com/support/pt_BR/article.100065322

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS.  A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO.  AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054