CVE-2020-36167

**Nome do software vulnerável e versões afetadas:

Versões do Veritas Backup Exec anteriores à 16.2

Versão 20.6 do Veritas Backup Exec antes da correção 298543

Versão 21.1 do Veritas Backup Exec antes da correção 657517

Descrição:

Uma falha no servidor permite que um usuário com privilégios limitados crie um arquivo de configuração malicioso capaz de carregar um mecanismo OpenSSL malicioso, resultando na execução de código arbitrário como SYSTEM quando o serviço é iniciado. Isso concede ao invasor acesso de administrador no sistema, permitindo que ele acesse todos os dados e aplicativos instalados. Se o sistema for um controlador de domínio do Active Directory, isso pode afetar todo o domínio.

Recomendações:

Para versões do Veritas Backup Exec anteriores à 16.2, atualize para uma versão que inclua as correções de segurança necessárias.

Para a versão 20.6 do Veritas Backup Exec, aplique a correção 298543 para resolver o problema.

Para a versão 21.1 do Veritas Backup Exec, aplique a correção 657517 para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao arquivo de configuração /usr/local/ssl/openssl.cnf para impedir que um usuário com privilégios limitados crie um arquivo malicioso.