修订历史记录
- 1.0: 2020 年 3 月 5 日:初始版
摘要
Veritas Backup Exec 的某些版本受到 Microsoft Windows CryptoAPI 漏洞 CVE-2020-0601 影响。
| 问题 | 描述 | 严重性 | 修正版本 |
|---|---|---|---|
1 |
Backup Exec 的某些版本受到 Microsoft Windows CryptoAPI 漏洞 CVE-2020-0601 影响,该漏洞与验证 ECC 代码签名证书有关。 |
严重 |
无 |
问题
2020 年 1 月,Microsoft 针对 Windows CryptoAPI 中攻击者可以利用的一个严重问题发布了安全通报,称攻击者可“使用仿冒代码签名证书签发恶意可执行软件,使文件看似来自可信的合法来源”。在一种情况下(即安装产品更新期间),Backup Exec 会验证签名代码,此时会受到该漏洞影响。
受影响的版本
Backup Exec 版本 20.5 和 20.6 会受此问题影响。所有受支持的 Backup Exec 更早期版本不会受到影响。
补救措施
补救此问题的唯一方法是安装 Microsoft 为修复此漏洞提供的 Windows 更新。无法通过更新 Backup Exec 解决此问题,因为此漏洞出现在 Microsoft Windows 上,而非 Backup Exec 上。
缓解方案
安装 Windows 更新之前,请勿更新系统上的 Backup Exec。
用户可能可以继续在易受攻击的系统上执行备份和还原,而没有触发漏洞的风险。