VTS22-011

corrección para el aviso de seguridad que afecta a los servidores de NetBackup

Historial de revisión

  • 1.0: fines de septiembre de 2022 – lanzamiento público inicial

Resumen

Veritas ha abordado vulnerabilidades que afectan a los servidores primarios de NetBackup.

Problemas

Problema n.° 1: inyección SQL

El servidor primario de NetBackup es vulnerable a un ataque de inyección SQL que afecta al servicio NBFSMCLIENT.

  • Id. de CVE: CVE-2022-42302
  • Gravedad: crítica
  • Puntaje base del CVSS v3.1: 9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
  • Componentes afectados: servidor primario
  • Versiones afectadas: 10.0 y anteriores
  • Acción recomendada:
    • Servidores primarios y de soportes de NetBackup: actualice a NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0 y aplique la corrección adecuada o actualice a 10.0.0.1
    • Clientes de NetBackup: no afectados. No se necesita ninguna acción.
    • NetBackup Appliance: actualice a 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0 y aplique la corrección adecuada o actualice a 5.0.0.1 MR1.
    • Flex Appliance: aplique la corrección de NetBackup que corresponde a la versión del contenedor de NetBackup en Flex Appliances
    • Flex Scale: contáctese con el Soporte Técnico de Veritas y haga referencia al Artículo de conocimiento Id. 100053006 para obtener una corrección.

Problema n.° 2: inyección SQL

El servidor primario de NetBackup es vulnerable a un ataque de inyección SQL de 2.° orden que afecta al servicio NBFSMCLIENT aprovechando el problema n.º 1 de este aviso.

  • Id. de CVE: CVE-2022-42303
  • Gravedad: alta
  • Puntaje base del CVSS v3.1: 8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • Componentes afectados: servidor primario
  • Versiones afectadas: 10.0 y anteriores
  • Acción recomendada:
    • Servidores primarios y de soportes de NetBackup: actualice a NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0 y aplique la corrección adecuada o actualice a 10.0.0.1
    • Clientes de NetBackup: no afectados. No se necesita ninguna acción.
    • NetBackup Appliance: actualice a 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0 y aplique la corrección adecuada o actualice a 5.0.0.1 MR1.
    • Flex Appliance: aplique la corrección de NetBackup que corresponde a la versión del contenedor de NetBackup en Flex Appliances
    • Flex Scale: contáctese con el Soporte Técnico de Veritas y haga referencia al Artículo de conocimiento Id. 100053006 para obtener una corrección.

Problema n.° 3: inyección SQL

El servidor primario de NetBackup es vulnerable a un ataque de inyección SQL que afecta idm, nbars y al código de administrador SLP.

  • Id. de CVE: CVE-2022-42304
  • Gravedad: alta
  • Puntaje base del CVSS v3.1: 8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • Componentes afectados: servidor primario
  • Versiones afectadas: 10.0 y anteriores
  • Acción recomendada:
    • Servidores primarios y de soportes de NetBackup: actualice a NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0 y aplique la corrección adecuada o actualice a 10.0.0.1
    • Clientes de NetBackup: no afectados. No se necesita ninguna acción.
    • NetBackup Appliance: actualice a 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0 y aplique la corrección adecuada o actualice a 5.0.0.1 MR1.
    • Flex Appliance: aplique la corrección de NetBackup que corresponde a la versión del contenedor de NetBackup en Flex Appliances
    • Flex Scale: contáctese con el Soporte Técnico de Veritas y haga referencia al Artículo de conocimiento Id. 100053006 para obtener una corrección.

Notas

Este aviso de seguridad, VTS22-011, también aborda los problemas identificados en VTS22-004, publicado anteriormente. Si aún no ha aplicado VTS22-004, no es necesario aplicarlo primero. Si ya ha aplicado VTS22-004, puede aplicar con seguridad VTS22-011 encima.

Preguntas

Si tiene preguntas o problemas relacionados con esta vulnerabilidad, contáctese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES)

Reconocimiento

Veritas desea agradecer a los siguientes miembros del Equipo de Airbus Security por notificarnos sobre la mayoría de estos problemas: Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet y Jean-Romain Garnier.

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054