Cronologia delle revisioni

  • 1.0: 23 dicembre 2020: versione iniziale
  • 1.1: 8 gennaio 2021: aggiunto ID CVE, link a Download Center
  • 17 febbraio 2021: aggiunta sezione Possibile soluzione

Riepilogo

Durante le periodiche procedure di test, Veritas ha individuato un problema per cui Veritas Desktop and Laptop Option (DLO) potrebbe permettere a un malintenzionato di eseguire codice arbitrario con privilegi di amministratore.

Problema

ID CVE: CVE-2020-36165
Gravità: Critica
Punteggio base CVSS v3.1: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

All'avvio, Veritas Desktop and Laptop Option (DLO) carica la libreria OpenSSL da /ReleaseX64/ssl. Questa libreria cerca di caricare il file di configurazione /ReleaseX64/ssl/openssl.cnf, che non esiste. Per impostazione predefinita, sui sistemi Windows gli utenti possono creare directory in C:\. Un utente con privilegi ridotti sul sistema Windows e senza privilegi in DLO può creare un file di configurazione in C:/ReleaseX64/ssl/openssl.cnf per caricare un motore OpenSSL pericoloso e, in seguito, eseguire codice arbitrario come SYSTEM all'avvio del servizio. In questo modo, il malintenzionato ottiene l'accesso di amministratore sul sistema, con accesso predefinito a tutti i dati, le applicazioni installate e così via.

Questa vulnerabilità si applica alle installazioni client e server di DLO.

Versioni interessate

Veritas Desktop and Laptop Option (DLO) versioni 9.3.3, 9.3.2, 9.3.1, 9.3, 9.2, 9.1, 9.0.1 e 9.0. Potrebbero essere interessate anche versioni precedenti non supportate.

Riparazione

I clienti con un contratto Maintenance attuale possono scaricare e installare Veritas Desktop and Laptop Option versione 9.5 per correggere la vulnerabilità.

Possibile soluzione

Se non si segue una delle soluzioni consigliate precedenti, usare un account amministratore per creare la directory "\usr\local\ssl" nel percorso di root di tutte le unità e impostare il controllo degli accessi in modo da impedire l'accesso in scrittura a tutti gli altri utenti. Così facendo, si impedisce a utenti malintenzionati di installare un motore OpenSSL pericoloso.

Cercare in Veritas Download Center gli aggiornamenti disponibili: https://www.veritas.com/support/it_IT/downloads

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT).