VTS22-013

corrección para el aviso de seguridad que afecta a los servidores de NetBackup

Historial de revisión

  • 1.0: fines de septiembre de 2022 – lanzamiento público inicial

Resumen

Veritas ha abordado vulnerabilidades que afectan a los servidores primarios y de soportes de NetBackup.

Problemas

Problema n.° 1: inyección de entidad externa XML

El servidor primario de NetBackup es vulnerable a un ataque de inyección de entidad externa XML (XXE) a través del proceso nbars.

  • Id. de CVE: CVE-2022-42301
  • Gravedad: media
  • Puntaje de base del CVSS v3.1: 5.4 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L)
  • Componentes afectados: servidores primarios y de soportes
  • Versiones afectadas: 10.0.0.1 y anteriores
  • Acción recomendada:
    • Servidores primarios y de soportes de NetBackup: actualice a 8.3.0.2 o 9.0.0.1, o 9.1.0.1 o 10.0.0.1 y aplique la corrección adecuada.
    • Clientes de NetBackup: no afectados. No se necesita ninguna acción.
    • NetBackup Appliance: actualice a cualquier versión de mantenimiento (MR) de 3.3.0.2 o 4.0.0.1, o 4.1.0.1 o 5.0.0.1 MR1 y aplique la corrección adecuada.
    • Flex Appliance: aplique la corrección de NetBackup que corresponde a la versión del contenedor de NetBackup en Flex Appliances.
    • Flex Scale: contáctese con el Soporte Técnico de Veritas y haga referencia al Artículo de conocimiento Id. 100053006 para obtener una corrección.

Problema n.° 2: rechazo del servicio

El proceso nbars del servidor primario de NetBackup puede fallar y provocar un ataque de rechazo del servicio. (Nota: El servicio de vigilancia reiniciará automáticamente el proceso).

  • Id. de CVE: CVE-2022-42300
  • Gravedad: media
  • Puntaje de base del CVSS v3.1: 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
  • Componentes afectados: servidores primarios y de soportes
  • Versiones afectadas: 10.0.0.1 y anteriores
  • Acción recomendada:
    • Servidores primarios y de soportes de NetBackup: actualice a 8.3.0.2 o 9.0.0.1, o 9.1.0.1 o 10.0.0.1 y aplique la corrección adecuada.
    • Clientes de NetBackup: no afectados. No se necesita ninguna acción.
    • NetBackup Appliance: actualice a cualquier versión de mantenimiento (MR) de 3.3.0.2 o 4.0.0.1, o 4.1.0.1 o 5.0.0.1 MR1 y aplique la corrección adecuada.
    • Flex Appliance: aplique la corrección de NetBackup que corresponde a la versión del contenedor de NetBackup en Flex Appliances.
    • Flex Scale: contáctese con el Soporte Técnico de Veritas y haga referencia al Artículo de conocimiento Id. 100053006 para obtener una corrección.

Notas

Este aviso de seguridad, VTS22-013, también aborda los problemas identificados en VTS22-004 y VTS22-011, publicados anteriormente. Si aún no ha aplicado VTS22-004 o VTS22-011, no es necesario aplicarlos primero. Si ya ha aplicado VTS22-004 o VTS22-011, puede aplicar con seguridad VTS22-013 encima.

Preguntas

Si tiene preguntas o problemas relacionados con esta vulnerabilidad, contáctese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES

Reconocimiento

Veritas desea agradecer a los siguientes miembros del Equipo de Airbus Security por notificarnos sobre la mayoría de estos problemas: Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet y Jean-Romain Garnier.

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.TODA INDICACIÓN POR ADELANTADO DE PLANES SOBRE PRODUCTOS SE REALIZA EN FORMA PRELIMINAR Y TODAS LAS FECHAS DE LANZAMIENTO FUTURAS SON PROVISIONALES Y ESTÁN SUJETAS A CAMBIOS. TODO LANZAMIENTO FUTURO DE PRODUCTOS O MODIFICACIONES PLANIFICADAS A LAS CAPACIDADES, FUNCIONALIDADES O FUNCIONES DEL PRODUCTO, QUE PUEDEN IMPLEMENTARSE O NO, ESTÁN SUJETAS A REVISIÓN CONTINUA POR PARTE DE VERITAS. ASIMISMO, NO DEBEN CONSIDERARSE COMO COMPROMISOS POR PARTE DE VERITAS NI DEBEN TENERSE EN CUENTA PARA TOMAR DECISIONES DE COMPRA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054