Cronologia delle revisioni

  • 1.0: 5 marzo 2020: versione iniziale

 

Riepilogo

Alcune versioni di Veritas Backup Exec presentano la vulnerabilità CVE-2020-0601 relativa a Microsoft Windows CryptoAPI.

 

Problema Descrizione Gravità Versione corretta

 

1

Alcune versioni di Backup Exec presentano la vulnerabilità CVE-2020-0601 relativa a Microsoft Windows CryptoAPI, che riguarda la verifica della firma con codice ECC dei certificati.

Critica

N/D

 

Problemi

A gennaio 2020, Microsoft ha pubblicato un avviso di sicurezza relativo a un errore critico in Windows CryptoAPI che consentirebbe a un malintenzionato "di firmare un eseguibile pericoloso utilizzando un certificato con firma del codice falsificato, facendo apparire il file come proveniente da una fonte attentibile e legittima". Questa vulnerabilità potrebbe presentarsi durante l'installazione di un aggiornamento di prodotto, quando Backup Exec verifica il codice firmato.

 

Versioni interessate

Le versioni 20.5 e 20.6 di Backup Exec sono interessate da questo problema. Tutte le versioni precedenti supportate di Backup Exec non sono interessate.

 

Soluzione

L'unico modo per risolvere il problema consiste nell'installare l'aggiornamento Windows di Microsoft che corregge questa vulnerabilità. Non ci saranno aggiornamenti a Backup Exec per risolvere il problema, in quanto la vulnerabilità riguarda Microsoft Windows e non Backup Exec.

 

Possibili soluzioni

Non installare l'aggiornamento di Backup Exec su un sistema finché non è stato installato l'aggiornamento di Windows.
Gli utenti possono continuare a eseguire backup e ripristini su sistemi vulnerabili senza alcun rischio di attivazione della vulnerabilità.

 

Riferimenti