Advisory OpenSSL su APTARE

Cronologia delle revisioni

1.0: 23 dicembre 2020: versione iniziale
1.1: 8 gennaio 2021: aggiunto ID CVE, aggiornate le sezioni Riparazione e Possibile soluzione

Riepilogo

Durante le periodiche procedure di test, Veritas ha individuato un problema per cui Veritas APTARE IT Analytics potrebbe permettere a un malintenzionato di eseguire codice arbitrario con privilegi di amministratore.

Problema

ID CVE: CVE-2020-36161
Gravità: Critica
Punteggio base CVSS v3.1: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

All'avvio, l'applicazione APTARE carica OpenSSL e questa libreria tenta di caricare il file di configurazione inesistente dai percorsi seguenti:

APTARE 10.4 e versioni precedenti: \apache24\conf\openssl.cnf
APTARE 10.5: \usr\local\ssl\openssl.cnf

Per impostazione predefinita, sui sistemi Windows gli utenti possono creare directory in C:\. Un utente con privilegi ridotti sul sistema Windows e senza privilegi in APTARE può creare una directory nei percorsi dei file di configurazione elencati in precedenza. Al riavvio del sistema Windows, un motore OpenSSL pericoloso può sfruttare un'esecuzione arbitraria del codice come SYSTEM. In questo modo, il malintenzionato ottiene l'accesso di amministratore sul sistema, con accesso predefinito a tutti i dati, le applicazioni installate e così via. Inoltre, esiste una vulnerabilità correlata nei file eseguibili di OpenSSL distribuiti da Veritas con APTARE per server Linux. Tale vulnerabilità concede anch'essa un accesso simile.

Versioni interessate

APTARE IT Analytics versioni 10.5 e 10.4.

Riparazione

I clienti con un contratto Maintenance attuale possono scaricare e installare aggiornamenti e patch seguendo le indicazioni di seguito:

Per APTARE IT Analytics 10.5:

Installare APTARE IT Analytics Maintenance release 10.5P3

Per APTARE IT Analytics 10.4:

Installare APTARE IT Analytics Maintenance release 10.4P9

Queste versioni di Maintenance sono disponibili per il download e l'installazione automatici in Veritas Update.

Per APTARE IT Analytics 10.3 o versioni precedenti, Veritas consiglia l'upgrade ad APTARE IT Analytics 10.5.

Cercare in Veritas Download Center gli aggiornamenti disponibili: https://www.veritas.com/support/it_IT/downloads

Possibile soluzione

Nelle implementazioni di Windows, usando un account amministratore creare i percorsi di directory elencati in precedenza e impostare il controllo degli accessi sulla directory per impedire l'accesso in scrittura a tutti gli altri utenti. Così facendo, non sarà possibile installare un motore OpenSSL pericoloso. Inoltre, rimuovere il file eseguibile di OpenSSL in Windows C:\opt\apache\bin\openssl.exe e/o in Linux /opt/apache/ssl/bin/openssl. Per procedure manuali più dettagliate, consultare l'Articolo di supporto sulla vulnerabilità di sicurezza di APTARE IT Analytics.

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT).