Bisherige Aktualisierungen
- 1.0: 1. April 2022: Erste Version
- 2.0: 8. April 2022: Access BYOS und InfoScale VEA als nicht verwundbar hinzugefügt
- 3.0: 22. April 2022: Mehrere Appliance-Produkte mit Behebungsempfehlungen hinzugefügt
Zusammenfassung
Die Spring Framework-Remotecodeausführung-Sicherheitslücke über Datenbindung unter JDK 9 und höher (CVE-2022-22965) wurde in mehreren Appliance-Produkten von Veritas identifiziert. Die folgenden Veritas-Produkte sind betroffen:
| Produkt | Betroffene Versionen | Korrigierte Versionen | CVE ID | Behebung |
|---|---|---|---|---|
|
Access Appliance |
7.4.3/7.4.3.100/7.4.3.200 |
7.4.3.300 |
||
|
Flex Appliance |
1.3.x, 2.0, 2.0.1, 2.0.2, 2.1 |
2.0.2 mit Hotfix |
||
|
NetBackup Appliance/ |
4.0/4.0.0.1 MR1/4.0.0.1 MR2 |
4.0.0.1 MR3 mit Hotfix |
||
|
NetBackup Flex Scale Appliance |
2.1, 3.0 |
2.1 Hotfix |
Problem
Die oben aufgeführten Veritas-Produkte enthalten Spring-Framework-Anwendungen, die Java JDK 9 verwenden, und sind von der Sicherheitslücke betroffen, bei der über Datenbindung Code remote ausgeführt (Remote Code Execution, RCE) werden kann.
Schweregrad: Kritisch
CVSS v3.1 Base Score 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Die Spring Framework-Sicherheitslücke besteht aufgrund einer unzureichenden Neutralisierung von speziellen Elementen, die in einem Betriebssystem-Befehl (CWE-78) verwendet werden. Der Angreifer kann somit eine beliebige bösartige Klasse laden, was zu einer möglichen Ausführung von bösartigem Code auf dem Server führen kann.
Behebung
Kunden mit einem aktuellen Wartungs-/Supportvertrag müssen auf eine der in der obigen Tabelle aufgeführten korrigierten Versionen aktualisieren.
Nicht betroffene Veritas-Produkte
Die folgenden Veritas-Produkte enthalten das Spring Framework. Aktuell gehen wir jedoch nicht davon aus, dass diese Sicherheitslücke Auswirkungen auf diese Veritas-Produkte hat. Veritas wird diese Mitteilung aktualisieren, falls diesbezüglich Änderungen vorliegen.
| Produkt | Vom Problem betroffen | Kommentare |
|---|---|---|
|
Access Appliance 7.4.2.x |
Nein |
Keine Verwendung von JDK >= 9 |
|
CloudPoint |
Nein |
Keine Verwendung von JDK >= 9 |
|
Data Insight |
Nein |
Keine Verwendung von JDK >= 9 |
|
eDiscovery |
Nein |
Keine Verwendung von JDK >= 9 |
|
NetBackup |
Nein |
Keine Verwendung von JDK >= 9 |
|
NetBackup Appliance 3.x |
Nein |
Keine Verwendung von JDK >= 9 |
|
NetBackup Appliance 5.x |
Nein |
Verwendet Spring Framework 5.3.18 |
|
NetBackup Virtual Appliance 3.x |
Nein |
Keine Verwendung von JDK >= 9 |
|
NetBackup Virtual Appliance 5.x |
Nein |
Verwendet Spring Framework 5.3.18 |
|
NetBackup IT Analytics (ehemals APTARE) |
Nein |
Keine Verteilung von Spring in einer WAR-Datei |
|
NetBackup OpsCenter |
Nein |
Keine Verwendung von JDK >= 9 |
|
Veritas InfoScale Operations Manager (VIOM) |
Nein |
Keine Verwendung von JDK >= 9 |
|
Veritas Resiliency Platform (VRP) |
Nein |
Keine Verwendung von JDK >= 9 |
Die folgenden Veritas-Produkte enthalten das Spring Framework nicht und sind nicht von dieser Sicherheitslücke betroffen:
- Access BYOS
- Appliance Management Server (AMS)
- Backup Exec
- Desktop and Laptop Option
- Enterprise Vault
- Enterprise Vault.cloud
- InfoScale core stack (VCS / VM / FS)
- InfoScale Veritas Enterprise Administrator (VEA)
- NetBackup Recovery Vault
- NetBackup SaaS Protection
- Merge1
- Quick Assist
- Veritas Advanced Supervision
- Veritas System Recovery (VSR)
Fragen
Bei Fragen oder Problemen im Zusammenhang mit diesen Schwachstellen wenden Sie sich an den Veritas-Techniksupport (https://www.veritas.com/support/de_DE).
Haftungsausschluss
DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA