Revisiones
1.0: 29 de julio de 2019: lanzamiento inicial
1.1: 30 de julio de 2019: Id. de CVE agregados
1.2: 31 de julio de 2019: versiones afectadas corregidas para todos los problemas, gravedad corregida del problema n.º 4
Resumen
Varias vulnerabilidades en Veritas Resiliency Platform (VRP)
| Problema | Descripción | Gravedad |
|---|---|---|
| 1 | Vulnerabilidad transversal del directorio relacionada con la carga de paquetes de aplicaciones | Crítica |
| 2 | Vulnerabilidad en la ejecución de comandos arbitraria con privilegios de raíz relacionados con la configuración del servidor DNS | Alta |
| 3 | Vulnerabilidad en la ejecución de comandos arbitraria con privilegios de raíz relacionados con los planes de resiliencia y scripts personalizados | Alta |
| 4 | Vulnerabilidad de XSS relacionadas con los planes de resiliencia | Media |
Problemas
Problema n.º 1
Al cargar un paquete de aplicaciones, una vulnerabilidad transversal del directorio permite a un usuario de VRP con privilegios suficientes sobrescribir cualquier archivo en la máquina virtual de VRP. Un usuario de VRP malicioso podría utilizarlo para reemplazar archivos existentes y tomar el control de la máquina virtual de VRP.
Id. de CVE: CVE-2019-14415
Gravedad: crítica
Puntaje base del CVSS v3: 9.1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
Productos afectados
- Todas las versiones antes de VRP 3.3.2 HF14
Problema n.º 2
Una vulnerabilidad en la ejecución de comandos arbitraria permite a un usuario de VRP malicioso ejecutar comandos con privilegios de raíz dentro de la máquina virtual de VRP, relacionados con la funcionalidad de DNS.
Id. de CVE: CVE-2019-14416
Gravedad: alta
Puntaje base del CVSS v3: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
Productos afectados
- Todas las versiones antes de VRP 3.3.2 HF14
Problema n.º 3
Una vulnerabilidad en la ejecución de comandos arbitraria permite a un usuario de VRP malicioso ejecutar comandos con privilegios de raíz dentro de la máquina virtual de VRP, relacionados con la funcionalidad de los planes de resiliencia y scripts personalizados.
Id. de CVE: CVE-2019-14417
Gravedad: alta
Puntaje base del CVSS v3: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
Productos afectados
- Todas las versiones antes de VRP 3.3.2 HF14
Problema n.º 4
Una vulnerabilidad persistente de secuencias de comandos entre sitios (XSS) permite a un usuario de VRP malicioso insertar scripts maliciosos en el navegador de otro usuario, en relación con la funcionalidad de los planes de resiliencia.
Id. de CVE:CVE-2019-14418
Gravedad: media
Puntaje base del CVSS v3: 5.9 (AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L)
Productos afectados
- Todas las versiones antes de VRP 3.3.2 HF14
Preguntas
Si tiene alguna pregunta acerca de la información en este aviso de seguridad, póngase en contacto con el Soporte técnico de Veritas.
Prácticas recomendadas
Como parte de las prácticas recomendadas normales, Veritas les recomienda lo siguiente a los clientes:
- Restringir el acceso de los sistemas de administración o gestión a usuarios privilegiados.
- Restringir el acceso remoto, si es necesario, solo a sistemas de confianza o autorizados.
- Mantener actualizados todos los sistemas operativos y aplicaciones con los parches más recientes de los proveedores.
- Adoptar un enfoque de seguridad de varios niveles. Ejecutar aplicaciones de firewall y antimalware, como mínimo, para proporcionar múltiples puntos de detección y protección contra las amenazas entrantes y salientes.
- Implementar sistemas de detección de intrusos basados en la red y el host para supervisar el tráfico de la red en busca de indicios de actividad anómala o sospechosa. Esto puede ayudar a detectar ataques o actividades maliciosas relacionadas con la explotación de vulnerabilidades latentes.
Renuncia de responsabilidad
EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL", Y TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, ADAPTACIÓN A UN FIN PARTICULAR O NO INCUMPLIMIENTO, NO SON VÁLIDAS, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. Veritas Technologies LLC NO SERÁ RESPONSABLE DE LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.
Veritas Technologies LLC,
2625 Augustine Drive,
Santa Clara, CA 95054.
© 2019 Veritas Technologies LLC. Todos los derechos reservados. Veritas, el logotipo de Veritas y NetBackup son marcas comerciales o marcas comerciales registradas por Veritas Technologies LLC o sus filiales en los Estados Unidos y en otros países. Los demás nombres pueden ser marcas registradas de sus respectivos propietarios.