Revisioni

  • 1.0: 28 febbraio 2020, release iniziale

 

Riepilogo

Veritas System Recovery presenta la vulnerabilità CVE-2020-0601 relativa a Microsoft Windows CryptoAPI.

 

Problema Descrizione Gravità Versione corretta

 

1

Veritas System Recovery presenta la vulnerabilità CVE-2020-0601 relativa a Microsoft Windows CryptoAPI.

Critica

N/D

 

Problemi

A febbraio 2020, Microsoft ha pubblicato un avviso di sicurezza relativo a un errore critico in Windows CryptoAPI che consentirebbe a un malintenzionato "di firmare un eseguibile pericoloso utilizzando un certificato con firma del codice falsificato, facendo apparire il file come proveniente da una fonte attentibile e legittima". Ci sono situazioni in cui Veritas System Recovery (VSR) verifica i certificati con firma del codice e, pertanto, si potrebbero subire gli effetti di tale vulnerabilità. Tali situazioni si verificano durante:

  • L'installazione iniziale del prodotto
  • L'installazione di un aggiornamento del prodotto
  • Operazioni da fisico a virtuale con server VMware ESX

 

Versioni interessate

Tutte le versioni di VSR sono interessate se eseguite su una versione di Windows vulnerabile. Le versioni di Windows 10, Windows Server 2016 e 2019 senza patch sono vulnerabili. Tutte le altre versioni di Windows non sono vulnerabili a questo problema.

 

Soluzione

L'unico modo per risolvere il problema consiste nell'installare l'aggiornamento Windows di Microsoft che corregge questa vulnerabilità. Non ci saranno aggiornamenti a VSR per risolvere il problema, in quanto la vulnerabilità riguarda Microsoft Windows e non VSR.

 

Possibili soluzioni

Per tutte e tre le situazioni di vulnerabilità, è possibile evitare alcune attività come soluzione temporanea:

  • Non eseguire l'installazione iniziale di VSR su un sistema finché non è stato installato l'aggiornamento di Windows.
  • Non installare l'aggiornamento di VSR su un sistema finché non è stato installato l'aggiornamento di Windows.
  • Non eseguire un'operazione P2V su un sistema ESX finché non è stato installato l'aggiornamento Windows sul sistema che si sta proteggendo.

Gli utenti possono continuare a eseguire backup e ripristini non P2V su sistemi vulnerabili senza alcun rischio di attivazione della vulnerabilità.

 

Riferimenti