VTS22-010

corrección para el aviso de seguridad que afecta a los clientes y servidores de NetBackup

Historial de revisión

  • 1.0: fines de septiembre de 2022 – lanzamiento público inicial
  • 1.1: Marzo de 2023: se agregó el Problema n.º 3

Resumen

Veritas ha abordado las vulnerabilidades que afectan a los clientes y servidores de NetBackup.

Problemas

Problema n.° 1: eliminación de archivos arbitrarios

Un atacante con acceso local puede eliminar archivos arbitrarios aprovechando un salto de directorio en el código de registro pbx_exchange.

  • Id. de CVE: CVE-2022-42308
  • Gravedad: crítica
  • Puntaje de base del CVSS v3.1: 9.0 (AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H)
  • Versiones afectadas: 8.2 y anteriores
  • Acción recomendada:
    • Servidores de NetBackup: actualice a 8.2 y aplique la corrección adecuada o actualice a 8.3.x o posterior.
    • Clientes de NetBackup: actualice a 8.2 o 8.1.2 y aplique la corrección adecuada o actualice a 8.3.x o posterior.
    • NetBackup Appliance: actualice a 3.2 y aplique la corrección adecuada o actualice a 3.3.x o posterior.
    • Flex Appliance: aplique la corrección de NetBackup que corresponde a la versión del contenedor de NetBackup en Flex Appliances.
    • Flex Scale: no afectado.

Problema n.° 2: rechazo del servicio

Un atacante con acceso local puede enviar un paquete especialmente diseñado a pbx_exchange durante el registro y provocar una excepción de puntero nulo que bloquee efectivamente el proceso pbx_exchange.

  • Id. de CVE: CVE-2022-42306
  • Gravedad: media
  • Puntaje de base del CVSS v3.1: 6.5 (AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H)
  • Versiones afectadas: 8.2 y anteriores
  • Acción recomendada:
    • Servidores de NetBackup: actualice a 8.2 y aplique la corrección adecuada o actualice a 8.3.x o posterior.
    • Clientes de NetBackup: actualice a 8.2 o 8.1.2 y aplique la corrección adecuada o actualice a 8.3.x o posterior.
    • NetBackup Appliance: actualice a 3.2 y aplique la corrección adecuada o actualice a 3.3.x o posterior.
    • Flex Appliance: aplique la corrección de NetBackup que corresponde a la versión del contenedor de NetBackup en Flex Appliances.
    • Flex Scale: no afectado.

Notas

Este aviso de seguridad, VTS22-010, también aborda los problemas identificados en VTS22-008 publicado anteriormente. Si aún no ha aplicado VTS22-008, no es necesario aplicarlo antes de instalar este aviso. Si ya ha aplicado VTS22-008, puede aplicar con seguridad VTS22-010 encima.

Preguntas

Si tiene preguntas o problemas relacionados con esta vulnerabilidad, contáctese con el Soporte técnico de Veritas ((https://www.veritas.com/support/es_ES)

Reconocimiento

Veritas desea agradecer a los siguientes miembros del Equipo de Airbus Security por notificarnos sobre los problemas 1 y 2:
Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet y Jean-Romain Garnier.

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054