修订历史记录

• 1.0：2020 年 12 月 23 日：初始版

摘要

多款 Veritas 产品存在与使用 OpenSSL 相关的共同漏洞。在安装有 Veritas 应用程序的系统上拥有本地访问权限的攻击者可以在该系统上安装恶意文件并利用此漏洞，从而让 Veritas 产品加载这些文件并将恶意软件当作 Veritas 应用程序的一部分执行。Veritas 应用程序通常都拥有系统的管理员访问权限，因为其执行各项功能需要这种访问权限。默认情况下，此权限让应用程序可以访问系统上的所有文件。因此，如果攻击者利用此漏洞，可能不仅会影响 Veritas 应用程序，还会影响系统上运行的任何数据或任何应用程序。攻击者可能能够利用一个系统上的数据去攻击其他系统。

鉴于此漏洞的严重性，如果 Veritas 提供了修补程序，强烈建议签署了当前有效的支持合同的客户升级和/或应用修补程序。如果无法立即应用升级/修补程序或者如果没有适用于您所用软件版本的升级/修补程序，则可采用简单的缓解方案，这有助于防止攻击者利用漏洞。有关升级/修补程序和缓解方案的详细信息，请查看下列各产品的安全通报：

• APTARE
• Backup Exec
• CloudPoint（独立版）
• Desktop and Laptop Option
• Enterprise Vault
• InfoScale
• NetBackup 和 NetBackup OpsCenter
• Veritas Resiliency Platform
• Veritas System Recovery

疑问

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)。