Historique des révisions
- 1.0: 5 mars 2020 : version initiale
Résumé
Certaines versions de Veritas Backup Exec sont affectées par la vulnérabilité de Microsoft Windows CryptoAPI n° CVE-2020-0601.
| Problème | Description | Gravité | Version corrigée |
|---|---|---|---|
1 |
Certaines versions de Backup Exec sont affectées par la vulnérabilité de Microsoft Windows CryptoAPI n° CVE-2020-0601 relative à la vérification des certificats de signature de code ECC. |
Critique |
S. O. |
Problèmes
En janvier 2020, Microsoft a publié un avis de sécurité pour un problème critique dans Windows CryptoAPI qu'un attaquant était susceptible d'exploiter « en utilisant un certificat de signature du code falsifié pour signer un fichier exécutable malveillant, faisant ainsi croire que le fichier provenait d'une source légitime de confiance ». Durant l'installation d'une mise à jour du produit, lorsque Backup Exec vérifie le code signé, vous pourriez être affecté par cette vulnérabilité dans certains cas.
Versions affectées
Les versions 20.5 et 20.6 de Backup Exec sont affectées par ce problème. Toutes les autres versions antécédentes de Backup Exec qui sont prises en charge ne sont pas affectées.
Remédiation
La seule façon de remédier au problème consiste à installer la mise à jour Windows de Microsoft qui corrige la vulnérabilité. Aucune mise à jour ne sera apportée à Backup Exec pour résoudre ce problème, car cette vulnérabilité est propre à Microsoft Windows, et non à Backup Exec.
Prévention
Ne mettez pas à jour Backup Exec sur un système tant que la mise à jour Windows n'a pas été installée.
Les utilisateurs peuvent continuer d'effectuer des sauvegardes et des restaurations sur des systèmes vulnérables sans risquer de déclencher la vulnérabilité.