CVE-2020-36164

**Nome do software vulnerável e versões afetadas:

Versões do Veritas Enterprise Vault anteriores à 14.1

Descrição:

Foi descoberta uma falha em que o Veritas Enterprise Vault carrega a biblioteca OpenSSL na inicialização, tentando carregar o arquivo de configuração openssl.cnf de locais específicos. Um usuário com privilégios limitados pode criar um arquivo de configuração openssl.cnf malicioso para carregar um mecanismo OpenSSL malicioso, resultando na execução de código arbitrário como SYSTEM quando o serviço é iniciado. Isso concede ao invasor acesso de administrador no sistema, permitindo que ele acesse todos os dados e aplicativos instalados.

Recomendações:

Para versões do Veritas Enterprise Vault anteriores à 14.1, atualize para a versão 14.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos diretórios onde o arquivo de configuração openssl.cnf pode ser criado para impedir que usuários com privilégios limitados carreguem um mecanismo OpenSSL malicioso.