VTS22-015

Corrección para el aviso de seguridad que afecta a la consola de administración de Java de NetBackup

Historial de revisión

  • 1.0: 15 de noviembre 2022: Lanzamiento público inicial
  • 1.1: 15 de noviembre 2022: Id. de CVE agregado

Resumen

Veritas ha solucionado una vulnerabilidad de inyección de comandos del SO que afecta a la consola de administración de Java de NetBackup. Consulte la sección "Notas" a continuación para determinar si es vulnerable a este problema. Solo los usuarios agregados explícitamente al archivo auth.conf pueden aprovechar esta vulnerabilidad.

Problemas

Vulnerabilidad de inyección de comandos del SO

Una vulnerabilidad en la consola de administración de Java de NetBackup permite que los usuarios no raíz autenticados que se agregaron explícitamente al archivo auth.conf ejecuten comandos arbitrarios como raíz.

  • CVE ID: CVE-2022-45461
  • Gravedad: alta
  • Puntaje base del CVSS v3.1: 7.5 AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Componentes potencialmente afectados: servidores primarios, servidores de soportes y clientes. (Ver notas a continuación).
  • Acción recomendada:
    • NetBackup: actualice a 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0.0.1 o 10.1 y aplique la corrección correspondiente
    • Appliance de NetBackup: actualice a 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1 o 5.0.0.1 MR1 y aplique la corrección adecuada.
    • Flex Appliance: aplique la corrección de NetBackup que corresponde a la versión del contenedor de NetBackup en Flex Appliances.
    • Flex Scale: contáctese con el Soporte Técnico de Veritas y haga referencia al Artículo de conocimiento Id. 100053006 para obtener una corrección.

Notas

El archivo /usr/openv/java/auth.conf otorga acceso a funciones en la consola de administración de NetBackup. Este archivo se crea de manera predeterminada y solo la raíz tiene derechos administrativos. Este archivo está presente en servidores primarios, servidores de soportes y clientes.

A menos que auth.conf se modifique agregando usuarios no raíz y permitiendo que esos usuarios administren servidores primarios o servidores de soportes o clientes, el entorno NO es vulnerable y no es necesaria la reparación.

Esto afecta solo a servidores y clientes basados en Unix. Los servidores y clientes basados en Windows no se ven afectados.

La reparación actualiza el binario bpjava vulnerable en el sistema de destino al que se conecta la consola de interfaz de usuario de administración de Java.

Para obtener más detalles sobre auth.conf, consulte: https://www.veritas.com/support/es_ES/doc/21733320-149123528-0/v41641695-149123528

Preguntas

Si tiene preguntas o problemas relacionados con esta vulnerabilidad, contáctese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES)

Reconocimiento

Veritas quiere agradecer al equipo de copia de seguridad de Nordea por informarnos del problema.

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTA DOCUMENTACIÓN ESTÁ SUJETA A CAMBIOS SIN AVISO. TODA INDICACIÓN POR ADELANTADO DE PLANES SOBRE PRODUCTOS SE REALIZA EN FORMA PRELIMINAR Y TODAS LAS FECHAS DE LANZAMIENTO FUTURAS SON PROVISIONALES Y ESTÁN SUJETAS A CAMBIOS. TODO LANZAMIENTO FUTURO DE PRODUCTOS O MODIFICACIONES PLANIFICADAS A LAS CAPACIDADES, FUNCIONALIDADES O FUNCIONES DEL PRODUCTO, QUE PUEDEN IMPLEMENTARSE O NO, ESTÁN SUJETAS A REVISIÓN CONTINUA POR PARTE DE VERITAS. ASIMISMO, NO DEBEN CONSIDERARSE COMO COMPROMISOS POR PARTE DE VERITAS NI DEBEN TENERSE EN CUENTA PARA TOMAR DECISIONES DE COMPRA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054