Avis pour Desktop and Laptop Option OpenSSL

Historique des révisions

1.0 : 23 décembre 2020, version initiale
1.1 : 8 janvier 2021 : ajout de l'ID de CVE, lien vers le Centre de téléchargements
17 février 2021 : ajout de la section Prévention

Résumé

Dans le cadre de son processus de test continu, Veritas a détecté un problème : Veritas Desktop and Laptop Option (DLO) pourrait permettre à un attaquant d'exécuter du code arbitraire à l'aide de droits d'administrateur.

Problème

ID de CVE : CVE-2020-36165
Gravité : critique
Score de base CVSS v3.1 : 9,3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

Au démarrage, Veritas DLO charge la bibliothèque OpenSSL depuis /ReleaseX64/ssl. Cette bibliothèque tente de charger le fichier de configuration /ReleaseX64/ssl/openssl.cnf qui n'existe pas. Par défaut, sur les systèmes Windows, les utilisateurs peuvent créer des répertoires sous C:\. Un utilisateur possédant des privilèges restreints sur le système Windows et n'ayant aucun privilège dans DLO peut créer un fichier de configuration C:/ReleaseX64/ssl/openssl.cnf pour charger un moteur OpenSSL malveillant et ainsi entraîner une exécution de code arbitraire comme SYSTEM au démarrage du service. L'attaquant obtient alors un accès administrateur au système, lui permettant (par défaut) d'accéder à l'ensemble des données, des applications installées, etc.

Cette vulnérabilité affecte les installations client et le serveur DLO.

Versions affectées

Veritas Desktop and Laptop Option (DLO), versions 9.3.3, 9.3.2, 9.3.1, 9.3, 9.2, 9.1, 9.0.1 et 9.0. Les versions antérieures non prises en charge peuvent également être affectées.

Remédiation

Les clients liés par un contrat de maintenance en cours peuvent télécharger et installer Veritas Desktop and Laptop Option, version 9.5, pour corriger la vulnérabilité.

Prévention

Si vous n'appliquez pas l'une des remédiations recommandées énumérées ci-dessus, utilisez un compte administrateur pour créer le répertoire « \usr\local\ssl » sous la racine de tous les lecteurs et définissez l'ACL sur le répertoire pour refuser l'accès en écriture à tous les autres utilisateurs. L'attaquant sera alors dans l'impossibilité d'installer un moteur OpenSSL malveillant.

Consultez le Centre de téléchargements Veritas pour découvrir les mises à jour disponibles : https://www.veritas.com/support/fr_FR/downloads

Questions

Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR).