Revisões

  • 1.0: 28 de fevereiro de 2020, release inicial

 

Resumo

O Veritas System Recovery é afetado pela vulnerabilidade CVE-2020-0601 do Microsoft Windows CryptoAPI.

 

Problema Descrição Gravidade Versão corrigida

 

1

O Veritas System Recovery é afetado pela vulnerabilidade CVE-2020-0601 do Microsoft Windows CryptoAPI, que tem a ver com a verificação de certificados de assinatura de códigos ECC.

Importante

N/A

 

Problemas

Em fevereiro de 2020, a Microsoft publicou um comunicado de segurança para um problema importante no Windows CryptoAPI em que um ataque poderia explorar "usando um certificado de assinatura de código forjado para assinar um arquivo executável malicioso, fazendo com que o arquivo parecesse ser de uma fonte legítima confiável.” Há casos em que o Veritas System Recovery (VSR) verifica certificados de assinatura de código e, portanto, pode ser afetado por essa vulnerabilidade. Esses casos são durante:

  • a instalação inicial do produto
  • a instalação de uma atualização do produto
  • operação física em virtual com servidor VMware ESX

 

Versões afetadas

Todas as versões do VSR são afetadas com a execução de uma versão vulnerável do Windows. Versões sem correção do Windows 10, Windows Server 2016 e 2019 estão vulneráveis. As outras versões do Windows não estão vulneráveis ao problema.

 

Correção

A única maneira de corrigir o problema é instalar a atualização do Windows da Microsoft que corrige a vulnerabilidade. Não haverá nenhuma atualização no VSR que corrija esse problema, pois a vulnerabilidade está no Microsoft Windows, não no VSR.

 

Atenuações

Todas as três instâncias em que a vulnerabilidade ocorre podem ser atenuadas evitando-se algumas tarefas:

  • Não execute uma instalação inicial do VSR em um sistema até que a atualização do Windows tenha sido instalada.
  • Não execute um VSR atualizado em um sistema até que a atualização do Windows tenha sido instalada.
  • Não execute uma operação P2V em um sistema relacionado a ESX até que a atualização do Windows tenha sido instalada no sistema que está sendo protegido.

Os usuários podem continuar a executar backups e restaurações não P2V em sistemas vulneráveis sem risco de ativar a vulnerabilidade.

 

Referências