Veritas InfoScale Operations Manager (VIOM) – Befehlsausführung über unsicheren Datei-Upload

VTS23-009

Veritas InfoScale Operations Manager (VIOM) – Befehlsausführung über unsicheren Datei-Upload – Sicherheitsempfehlung

Bisherige Aktualisierungen

1.0: 12. Juli 2023: Erste Version
1.1: 14. Juli 2023: Behebungsempfehlung aktualisiert
1.2: 20 Juli, 2023: CVE-ID hinzugefügt

Zusammenfassung

Es wurde eine Sicherheitslücke in der Veritas InfoScale Operations Manager (VIOM) XPRTLD-Webanwendung erkannt.

Problem

Die VIOM XPRTLD-Webanwendung ermöglicht es einem authentifizierten Angreifer, alle möglichen Dateitypen auf den Server hochzuladen. Ein authentifizierter Angreifer kann anschließend die bösartige Datei ausführen, um Befehle auf dem Remote-Server auszuführen.

CVE-ID: CVE-2023-38404
Schweregrad: hoch
CVSS v3.1 Base Score: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
CWE-434: Uneingeschränkter Upload von Datei mit gefährlichem Dateityp

Voraussetzungen

Ein Angreifer muss Administratorzugriff auf die VIOM XPRTLD-Webanwendung haben.

Betroffene Versionen

Veritas InfoScale Operations Manager (VIOM) Versionen 7.0, 7.1, 7.2, 7.3, 7.3.1, 7.4, 7.4.2, 8.0. Nicht unterstützte ältere Versionen können ebenfalls betroffen sein.

Behebung

Kunden mit einem aktuellen Wartungsvertrag sollten ein Upgrade ihrer VIOM-Umgebung wie unten empfohlen durchführen:

Führen Sie ein Upgrade von Veritas InfoScale Operations Manager (VIOM) Management Server mindestens auf Version 8.0.0.410 oder 8.0.2 durch.
Führen Sie ein Upgrade von VIOM Agents mindestens auf Version 7.4.2.810, 8.0.0.410 oder 8.0.2.0 abhängig von der Unterstützungsmatrix durch.

Verfügbare Aktualisierungen finden Sie im Veritas Download Center: https://www.veritas.com/support/de_DE/downloads

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE).

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
Wappenhalle
80333 München