Bisherige Aktualisierungen
- 1.0: 23. Dezember 2020: Erstfassung
Zusammenfassung
Bei einer Reihe von Veritas-Produkten besteht eine gemeinsame Sicherheitslücke im Zusammenhang mit der Verwendung von OpenSSL. Angreifer mit lokalem Zugriff auf das System, auf dem die Veritas-Anwendung installiert ist, können schädliche Dateien auf dem System installieren und so diese Sicherheitslücke ausnutzen, um anschließend vom Veritas-Produkt die schädlichen Dateien laden und die Schadsoftware als Teil der Veritas-Anwendung ausführen zu lassen. Aufgrund des Zugriffstyps, der Voraussetzung für die Nutzung dieser Funktionen ist, ist für Veritas-Anwendungen üblicherweise Administratorzugriff auf das System erforderlich. Standardmäßig ist mit diesen Zugriffsrechten der Zugriff auf alle Dateien auf dem System über die Anwendung möglich. Angreifer, die diese Sicherheitslücke ausnutzen, können damit potenziell nicht nur die Veritas-Anwendung, sondern sämtliche Daten sämtlicher Anwendungen manipulieren, die auf dem System ausgeführt werden. Angreifer können unter Umständen Daten auf einem System für Angriffe auf andere Systeme nutzen.
Angesichts des hohen Schweregrads dieser Sicherheitslücke wird Kunden mit aktuell gültigem Supportvertrag dringend empfohlen, die Anwendung zu aktualisieren und/oder einen Patch anzuwenden, sobald dieser von Veritas bereitgestellt wird. Wenn Sie die Anwendung nicht umgehend aktualisieren/patchen können bzw. für die von Ihnen verwendete Softwareversion keine Aktualisierung/kein Patch bereitgestellt wird, lässt sich die Ausnutzung dieser Sicherheitslücke mit einer einfachen Gegenmaßnahme verhindern. Einzelheiten zu Aktualisierungen/Patches und Gegenmaßnahmen finden Sie in den nachfolgenden Sicherheitsempfehlungen zu den einzelnen Produkten:
Fragen
Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den Veritas-Techniksupport (https://www.veritas.com/support/de_DE).