Veritas Alta Recovery Vault 加速删除漏洞

修订历史记录

• 1.0：2024 年 5 月 1 日：初始版
• 1.1：2024 年 5 月 7 日：增加了 CVE ID

摘要

在 Veritas NetBackup 10.3.0.1 及更早版本的 Recovery Vault 功能中发现了一个漏洞。依照设计，应只有云管理员可以禁用治理模式映像的保留锁定。但此漏洞可让 NetBackup 管理员在治理模式下修改备份的到期时间，这可能会导致永久删除。

问题

CVE ID：CVE-2024-34404
严重性：中等
CVSS v3.1 基础评分 6.8 (AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N)
CWE-284：不当的访问控制

前提条件

NetBackup 服务器已配置为将 Veritas Alta Recovery Vault（以前称为 NetBackup Recovery Vault）用于基于云的数据保留服务。拥有“NetBackup 管理员”角色的用户可以访问 NetBackup 服务器，并在云存储中执行修改治理模式映像到期时间的操作。

受影响的版本

Veritas NetBackup 版本 10.3.0.1、10.3、10.2.0.1、10.2、10.1.1、10.1、10.0.0.1、10.0、9.1.0.1

Veritas NetBackup 备份一体机版本 5.3.0.1、5.3、5.1.1、5.0、5.0.0.1、4.1.0.1

补救措施

已在所有 NetBackup Recovery Vault 云端点上针对此漏洞进行了修复。已按照如下技术说明所述安装了最新修补程序的 Veritas NetBackup Recovery Vault 客户无需采取进一步的措施。尚未安装最新修补程序的客户必须立即安装该修补程序，以便继续进行定期备份。

如需了解更多信息，请参阅 Veritas 技术说明：

• https://www.veritas.com/support/zh_CN/article.100065322

问题

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054