Bisherige Aktualisierungen
- 1.0: 5. März 2020: Erste Version
Zusammenfassung
Einige Versionen von Veritas System Recovery sind von der Microsoft Windows CryptoAPI-Sicherheitslücke CVE-2020-0601 betroffen.
| Problem | Beschreibung | Schweregrad | Korrigierte Version |
|---|---|---|---|
1 |
Einige Versionen von Backup Exec sind von der Microsoft Windows CryptoAPI-Sicherheitslücke CVE-2020-0601 betroffen. Diese bezieht sich auf die Überprüfung von ECC-Codesignaturzertifikaten. |
Kritisch |
K.A. |
Probleme
Im Januar 2020 veröffentlichte Microsoft eine Sicherheitsempfehlung für ein kritisches Problem in der Windows CryptoAPI. Diese konnte ein Angreifer ausnutzen, "indem er mithilfe eines gefälschten Codesignaturzertifikats eine schädliche ausführbare Datei signiert und vorgibt, dass die Datei von einer vertrauenswürdigen, autorisierten Quelle stammt". Es gibt eine Situation während der Installation eines Produkt-Updates, in der Backup Exec den signierten Code überprüft, wenn er von dieser Sicherheitslücke betroffen sein könnte.
Betroffene Versionen
Die Backup Exec-Versionen 20.5 und 20.6 sind von diesem Problem betroffen. Alle älteren, unterstützten Versionen von Backup Exec sind nicht betroffen.
Behebung
Das Problem kann ausschließlich behoben werden, indem Sie das Windows-Update von Microsoft installieren, das diese Sicherheitslücke beseitigt. Es wird kein Update für Backup Exec zum Beheben dieses Problems bereitgestellt, da diese Sicherheitslücke in Microsoft Windows und nicht in Backup Exec vorliegt.
Gegenmaßnahmen
Aktualisieren Sie auf keinem System Backup Exec, bevor das Windows-Update installiert wurde.
Benutzer können Backups und Wiederherstellungen auf anfälligen Systemen ausführen, ohne einem Risiko durch die Sicherheitslücke ausgesetzt zu sein.