Cronologia delle revisioni

  • 1.0: 23 dicembre 2020: versione iniziale
  • 1.1: 8 gennaio 2021: aggiunto ID CVE, aggiornata la sezione Riparazione.

Riepilogo

Durante le periodiche procedure di test, Veritas ha individuato un problema per cui Veritas InfoScale su Windows potrebbe permettere a un malintenzionato di eseguire codice arbitrario con privilegi di amministratore.

Problema

ID CVE: CVE-2020-36166
Gravità: Critica
Punteggio base CVSS v3.1: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

All'avvio, l'applicazione InfoScale carica la libreria OpenSSL da \usr\local\ssl. La libreria cerca quindi di caricare il file di configurazione \usr\local\ssl\openssl.cnf, che potrebbe non esistere. Nei sistemi Windows, il percorso potrebbe essere <unità>:\usr\local\ssl\openssl.cnf, dove <unità> potrebbe essere l'unità di installazione predefinita di Windows, ovvero C:\, oppure l'unità di installazione del prodotto InfoScale. Per impostazione predefinita, sui sistemi Windows gli utenti possono creare directory in C:\. Un utente con privilegi ridotti sul sistema Windows e senza privilegi in InfoScale può creare un file di configurazione in <unità>:\usr\local\ssl\openssl.cnf per caricare un motore OpenSSL pericoloso e, in seguito, eseguire codice arbitrario come SYSTEM all'avvio del servizio. In questo modo, il malintenzionato ottiene l'accesso di amministratore sul sistema, con accesso predefinito a tutti i dati, le applicazioni installate e così via.

Questa vulnerabilità si applica a InfoScale Storage, Availability, Enterprise, Storage Foundation for Windows, Storage Foundation HA for Windows e Veritas InfoScale Operations Manager (VIOM).

Versioni interessate

Veritas InfoScale Windows versioni 7.4.2, 7.4.1, 7.4, 7.3.1, 7.3, 7.2, 7.1, 7.0.1, 7.0, Storage Foundation HA for Windows 6.1 e Storage Foundation for Windows 6.1. Potrebbero essere interessate anche versioni precedenti non supportate.

Veritas InfoScale Operations Manager (VIOM) Windows Management Server versioni 7.4.2, 7.4, 7.3.1, 7.3, 7.2, 7.1, 7.0. Potrebbero essere interessate anche versioni precedenti non supportate.

Le piattaforme diverse da Windows non sono interessate.

Riparazione

I clienti con un contratto Maintenance attuale possono aggiornare e/o applicare una patch se e quando resa disponibile da Veritas.

Possibile soluzione

Nelle implementazioni di Windows, usando un account amministratore creare la directory "\usr\local\ssl" sull'unità di sistema e sull'unità dove è installato il prodotto InfoScale e impostare il controllo degli accessi sulla directory per impedire l'accesso in scrittura a tutti gli altri utenti. Così facendo, non sarà possibile installare un motore OpenSSL pericoloso.

  • Per trovare l'unità di sistema, eseguire echo %SYSTEMDRIVE% nel prompt dei comandi.
  • Per trovare l'unità di installazione di InfoScale, eseguire echo %VMPATH% o echo %VCS_ROOT% al prompt dei comandi.

Esempio:

  • Se SYSTEMDRIVE è C: e anche il prodotto InfoScale è installato in C: nel percorso "C:\XYZ", creare la directory seguente e impostare il controllo degli accessi su tale directory per impedire l'accesso in scrittura a tutti gli altri utenti.
    • C:\usr\local\ssl
  • Se SYSTEMDRIVE è C: e il prodotto InfoScale è installato in D: nel percorso "D:\XYZ", creare le directory seguenti e impostare il controllo degli accessi su tali directory per impedire l'accesso in scrittura a tutti gli altri utenti.
    • C:\usr\local\ssl
    • D:\urs\local\ssl

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT).