修订历史记录

• 1.0：2024 年 4 月 15 日：初始版本
• 1.1: 2024 年 5 月 8 日:  建议采取的措施 10.0.0.1 and 9.1.0.1

问题：任意文件删除

NetBackup 中使用的多线程代理可用于对受保护文件执行任意文件删除。

CVE ID：CVE-2024-33672
严重性：高
CVSS v3.1 基础评分 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
CWE-427 非受控搜索路径元素
受影响的组件：仅 Microsoft Windows 操作系统 — 主服务器、媒体服务器和客户端
受影响的版本：10.3.0.1、10.3、10.2.0.1、10.2、10.1.1、10.1、10.0.0.1、10.0、9.1.0.1、9.1、8.3.0.2。

注意：不受支持的旧版本也可能受到影响。

建议采取的措施：

• 升级到版本 10.4（无需 EEB），或
• 升级到版本 10.3.0.1 并应用 10.3.0.1 EEB（从下载中心下载），或
• 升级到版本 10.2.0.1 并应用 10.2.0.1 EEB（从下载中心下载），或
• 升级到版本 10.1.1 并应用 10.1.1 EEB（从下载中心下载）。

缓解方案：仅限本地管理员用户访问 boost_interprocess 目录 (C:\ProgramData\boost_interprocess)

鸣谢

Veritas 非常感谢 Lockheed Martin Red 团队告知我们此问题。

问题

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN/contact-us)

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054