HotFix para el aviso de seguridad que afecta a clientes de NetBackup

Historial de revisión

• 1.0: 18 de julio de 2022, versión inicial

Resumen

Veritas ha abordado dos vulnerabilidades que afectaban a los clientes de NetBackup.

Problemas

Problema n.° 1: Ejecución arbitraria de comandos

El cliente de NetBackup permite la ejecución arbitraria de comandos desde cualquier host remoto que tenga acceso a una clave certificada o privada de NetBackup con id. de host válida del mismo dominio.

• CVE ID: CVE-2022-36956
• Gravedad: crítica
• Puntaje de base del CVSS v3.1: 9.0 (AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)
• Versiones afectadas: 9.0.x, 9.1.x
• Acción recomendada:
  • Actualizar el cliente de NBU a 10.0: no se necesita ninguna HotFix o
  • Actualizar el cliente de NBU a 9.1.0.1 y aplicar VTS22-008: HotFix para aviso de seguridad que afecta a los clientes de NetBackup 9.1.0.1 (Etrack 4066508) o
  • Actualizar el cliente de NBU a 9.0.0.1 y aplicar VTS22-008: HotFix para aviso de seguridad que afecta a los clientes de NetBackup 9.0.0.1 (Etrack 4067247) o
  • Para las versiones de cliente de NBU 8.3.x y anteriores: no vulnerable, no aplicable
    

Problema n.º 2: Escalamiento de privilegios

Un atacante con acceso local no privilegiado a un cliente de NetBackup puede enviar comandos específicos para escalar sus privilegios.

• CVE ID: CVE-2022-36955
• Gravedad: alta
• Puntaje de base del CVSS v3.1: 7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
• Versiones afectadas: 9.1.x, 9.0.x, 8.3.x, 8.2 y anteriores
• Acciones recomendadas:
  • Actualizar el cliente de NBU a 10.0: no se necesita ninguna HotFix o
  • Actualizar el cliente de NBU a 9.1.0.1 y aplicar VTS22-008: HotFix para aviso de seguridad que afecta a los clientes de NetBackup 9.1.0.1 (Etrack 4066508) o
  • Actualizar el cliente de NBU a 9.0.0.1 y aplicar VTS22-008: HotFix para aviso de seguridad que afecta a los clientes de NetBackup 9.0.0.1 (Etrack 4067247) o
  • Actualizar el cliente de NBU a 8.3.0.2 y aplicar VTS22-008: HotFix para aviso de seguridad que afecta a los clientes de NetBackup 8.3.0.2 (Etrack 4066512) o
  • Para la versión de cliente de NBU 8.2, aplicar VTS22-008: HotFix para aviso de seguridad que afecta a los clientes de NetBackup 8.2 (Etrack 4068828)
  • Para la versión de cliente de NBU 8.1.2, aplicar VTS22-008: HotFix para aviso de seguridad que afecta a los clientes de NetBackup 8.1.2 (Etrack 4071637)

Notas

Ya se han abordado las correcciones de estas vulnerabilidades en el servidor primario y de soportes relacionado en la parte del aviso de seguridad sobre VTS22-004.

Reconocimiento

Veritas desea agradecer a los siguientes miembros del Equipo de Airbus Security por notificarnos sobre el Problema n.º 2: Mouad Abouhali, Benoit Camredon, Nicholas Devillers, Anais Gantet y Jean-Romain Garnier.

Preguntas

Si tiene preguntas o problemas relacionados con esta vulnerabilidad, contáctese con el Soporte técnico de Veritas (https://www.veritas.com/support)

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC 2625

Augustine Drive

Santa Clara, CA 95054