Upozorňujeme na kritickou bezpečnostní chybu v protokolu Arcserve UDP (CVE-2023-26258). Tato chyba se týká Arcserve UDP verzí 7.x až 9.0.
Důrazně doporučujeme co nejdříve provést upgrade na verzi Arcserve UDP 9.1.
Pro prostředí, která nemohou snadno aktualizovat jsou dostupné tyto záplaty, rovněž pro následující starší verze Arcserve UDP:
P00002855 Oprava pro CVE-2023-26258 – UDP 7.0 u2
P00002856 Oprava pro CVE-2023-26258 – UDP 8.1 (obsahuje log4j / P00002533)
P00002847 Oprava pro CVE-2023-26258 – UDP 9.0
Kromě toho výzkumníci nalezli lokálně zneužitelný problém, kdy útočník s přímým přístupem k systému, kde je UDP nainstalován, bude schopen získat přihlašovací údaje instance UDP a backendové instance SQL Express.
Kroky ke změně výchozího hesla SQL Express naleznete v tomto článku. Doporučujeme zvolit si vlastní heslo.
Tuto zranitelnost lze také eliminovat:
1. Omezením přístupu k vestavěné databázi tím, že zajistíte, aby byla na hostiteli UDP povolena brána Windows Firewall (toto je výchozí nastavení).
2. Omezení přístupu k systémům UDP prostřednictvím infrastruktury pro správu identit a přístupu a zapnutí bezpečnostního auditu v systému hostitele UDP pro sledování neoprávněného přístupu.
Další podrobnosti naleznete zde.
