Révisions

  • 1.0 : 28 février 2020, publication initiale

 

Résumé

Veritas System Recovery est affecté par la vulnérabilité de Microsoft Windows CryptoAPI n° CVE-2020-0601.

 

Problème Description Gravité Version corrigée

 

1

Veritas System Recovery est affecté par la vulnérabilité de Microsoft Windows CryptoAPI n° CVE-2020-0601.

Critique

S. O.

 

Problèmes

En février 2020, Microsoft a publié un avis de sécurité pour un problème critique dans Windows CryptoAPI qu'un attaquant était susceptible d'exploiter « en utilisant un certificat de signature du code falsifié pour signer un fichier exécutable malveillant, faisant ainsi croire que le fichier provenait d'une source légitime de confiance ». Dans certains cas, Veritas System Recovery (VSR) vérifie les certificats de signature du code et pourrait être affecté par cette vulnérabilité. Une vérification est effectuée dans les cas suivants :

  • Installation initiale du produit
  • Installation d'une mise à jour du produit
  • Opération physique à virtuel (P2V) grâce au serveur VMware ESX

 

Versions affectées

Toutes les versions de VSR sont affectées lorsqu'elles s'exécutent sur une version vulnérable de Windows. Les versions non corrigées de Windows 10, Windows Server 2016 et 2019 sont vulnérables. Toutes les autres versions de Windows ne sont pas vulnérables au problème.

 

Remédiation

La seule façon de remédier au problème consiste à installer la mise à jour Windows de Microsoft qui corrige la vulnérabilité. Aucune mise à jour ne sera apportée à VSR pour résoudre ce problème, car cette vulnérabilité est propre à Microsoft Windows, et non à VSR.

 

Prévention

Chacun des trois cas dans lesquels la vulnérabilité se produit peut être corrigé en évitant certaines tâches :

  • N'effectuez pas une installation initiale de VSR sur un système tant que la mise à jour Windows n'a pas été installée.
  • Ne mettez pas à jour VSR sur un système tant que la mise à jour Windows n'a pas été installée.
  • N'effectuez pas une opération P2V sur un système associé à ESX tant que la mise à jour Windows n'a pas été installée sur le système protégé.

Les utilisateurs peuvent continuer d'effectuer des sauvegardes et des restaurations non-P2V sur des systèmes vulnérables sans risquer de déclencher la vulnérabilité.

 

Références