CVE-2020-36166

**Nome do software vulnerável e versões afetadas:

Veritas InfoScale, versões 7.x a 7.4.2

Storage Foundation, versões até 6.1

Storage Foundation HA, versões até 6.1

InfoScale Operations Manager (também conhecido como VIOM), versões do servidor de gerenciamento do Windows 7.x a 7.4.2

Descrição:

Uma vulnerabilidade permite que um usuário com privilégios limitados crie um arquivo de configuração malicioso capaz de carregar um mecanismo OpenSSL malicioso, resultando na execução de código arbitrário como SYSTEM quando o serviço é iniciado. Isso concede ao invasor acesso de administrador no sistema, permitindo que ele acesse todos os dados e aplicativos instalados.

Recomendações:

Para as versões 7.x a 7.4.2 do Veritas InfoScale, considere restringir o acesso ao diretório onde o arquivo de configuração do OpenSSL é carregado para impedir que um usuário com privilégios limitados crie um arquivo de configuração malicioso.

Para as versões do Storage Foundation até a 6.1, restrinja o acesso ao diretório onde o arquivo de configuração do OpenSSL é carregado para minimizar o risco de exploração.

Para as versões do Storage Foundation HA até a 6.1, considere desativar o carregamento da biblioteca OpenSSL a partir do diretório usrlocalssl até que um patch esteja disponível.

Para as versões do InfoScale Operations Manager (também conhecido como VIOM) do Windows Management Server de 7.x a 7.4.2, evite usar a unidade de instalação padrão do Windows para carregar o arquivo de configuração do OpenSSL e, em vez disso, use um local seguro para carregar o arquivo de configuração.