Empfehlung zu Desktop and Laptop Option OpenSSL

Bisherige Aktualisierungen

1.0: 23. Dezember 2020: Erstfassung
1.1: 8. Januar 2021: CVE-ID und Link zum Download Center ergänzt
17. Februar 2021: Abschnitt zu Gegenmaßnahmen hinzugefügt

Zusammenfassung

Veritas hat im Rahmen seines kontinuierlichen Testprozesses ein Problem identifiziert, bei dem Angreifer über Veritas Desktop and Laptop Option (DLO) beliebigen Code mit Administratorberechtigungen ausführen können.

Problem

CVE-ID: CVE-2020-36165
Schweregrad: Kritisch
CVSS v3.1 Base Score: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

Beim Start wird mit Veritas Desktop and Laptop Option (DLO) die OpenSSL-Bibliothek unter /ReleaseX64/ssl geladen. Mit dieser Bibliothek wird versucht, die Konfigurationsdatei /ReleaseX64/ssl/openssl.cnf zu laden, die jedoch nicht vorhanden ist. Standardmäßig können Benutzer auf Windows-Systemen auf C:\ Verzeichnisse anlegen. Benutzer mit beschränken Zugriffsrechten für das Windows-System ohne Berechtigungen für DLO können eine Konfigurationsdatei C:/ReleaseX64/ssl/openssl.cnf erstellen, über die ein OpenSSL-Schadmodul geladen werden kann, sodass beim Dienststart beliebiger Code als SYSTEM ausgeführt wird. Angreifer erhalten so Administratorzugriff auf das System und können dann (standardmäßig) auf sämtliche Daten, alle installierten Anwendungen usw. zugreifen.

Diese Sicherheitslücke betrifft DLO-Server- und Clientinstallationen.

Betroffene Versionen

Veritas Desktop and Laptop Option (DLO), Versionen 9.3.3, 9.3.2, 9.3.1, 9.3, 9.2, 9.1, 9.0.1 und 9.0. Nicht unterstützte ältere Versionen können ebenfalls betroffen sein.

Behebung

Kunden mit laufenden Wartungsverträgen können Veritas Desktop and Laptop Option Version 9.5 herunterladen und installieren, um die Sicherheitslücke zu schließen.

Gegenmaßnahme

Wenn Sie keine oben aufgeführte empfohlene Behebung anwenden, erstellen Sie über ein Administratorkonto im Stammverzeichnis aller Laufwerke das Verzeichnis \usr\local\ssl und sperren in der ACL für das Verzeichnis für alle anderen Benutzer den Schreibzugriff. Angreifer können dann keine OpenSSL-Schadmodule mehr installieren.

Verfügbare Aktualisierungen finden Sie im Veritas Download Center: https://www.veritas.com/support/de_DE/downloads

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den Veritas-Techniksupport (https://www.veritas.com/support/de_DE).