影响 Backup Exec 的安全公告

修订历史记录

• 1.0：2024 年 4 月 15 日：初始版本

问题

问题 1：任意文件删除

Backup Exec Deduplication Multi-threaded Streaming Agent 可用于对受保护文件执行任意文件删除。

• CVE ID：CVE-2024-33671
• 严重性：高
• CVSS v3.1 基础评分 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• 受影响的版本：21.0、21.1、21.2、21.3、21.4、22.0、22.1、22.2
• 建议采取的措施：升级到版本 23.0（无需修补程序）或
  升级到版本 22.2 并应用修补程序 917391（从下载中心下载）。
• 缓解方案：仅限本地管理员用户访问 boost_interprocess 目录 (C:\ProgramData\boost_interprocess)

问题 2：不安全 DLL 加载

本公告解决了几个涉及加载不安全 DLL 的问题。

• CVE ID：CVE-2024-33673
• 严重性：高
• CVSS v3.1 基础评分 7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
• 受影响的版本：21.0、21.1、21.2、21.3、21.4、22.0、22.1、22.2
• 建议采取的措施：升级到版本 23.0（无需修补程序）或 升级到版本 22.2 并应用修补程序 917391（从下载中心下载）。

缓解方案

• 如果非管理员 Windows 用户无权在 DLL 搜索路径中创建文件，则该问题会得到缓解。
• 请参阅 Microsoft 文档，了解 DLL 搜索顺序：https://learn.microsoft.com/zh-cn/windows/win32/dlls/dynamic-link-library-search-order

鸣谢

Veritas 非常感谢 Lockheed Martin Red 团队告知我们这些问题。

问题

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054