Vulnerabilidad de derivación de autenticación de RabbitMQ de NetBackup Snapshot Manager

VTS23-011

Vulnerabilidad de derivación de autenticación de RabbitMQ de NetBackup Snapshot Manager

Historial de revisiones

1.0: 26 de julio de 2023, versión inicial
1.1: 28 de julio de 2023, descripción actualizada del problema
1.2: 25 de agosto de 2023: Id. de CVE agregado

Resumen

Se descubrió una vulnerabilidad en Veritas NetBackup Snapshot Manager que permitía a clientes no confiables interactuar con el servicio RabbitMQ.

Problema

La vulnerabilidad se produjo por una validación incorrecta del certificado del cliente debido a una configuración incorrecta del servicio RabbitMQ. Esta vulnerabilidad afecta la confidencialidad e integridad de los mensajes que controlan los trabajos de copia de seguridad y restauración, y podría hacer que el servicio no estuviera disponible. Esta vulnerabilidad afecta únicamente a los trabajos que controlan las actividades de copia de seguridad y restauración, y no permite acceder a los datos de las instantáneas de copias de seguridad ni eliminarlos. Esta vulnerabilidad se limita a la función NetBackup Snapshot Manager y no afecta a la instancia de RabbitMQ en los servidores primarios de NetBackup.

Id. de CVE: CVE-2023-40256
Gravedad: crítica
Puntaje de base del CVSS v3.1: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
CWE: 295, validación incorrecta de certificados

Versiones afectadas

Versiones 8.3.0.1, 8.3.0.2, 9.0, 9.1, 9.1.0.1, 10.0, 10.0.0.1, 10.1, 10.1.1, 10.2 de Veritas NetBackup Snapshot Manager. Las versiones anteriores no compatibles de la aplicación antecesora Veritas NetBackup CloudPoint también pueden verse afectadas.

Reparación

Los clientes con un contrato de mantenimiento vigente deben actualizar a NetBackup Snapshot Manager como se describe a continuación:

Actualizar a 10.2.0.1 (muy recomendado)
Implementar la corrección 10.1.1 (la actualización a 10.1.1 es un requisito previo)
Implementar la corrección 10.0.0.1 (la actualización a 10.0.0.1 es un requisito previo)

Consulte el Centro de descargas de Veritas para ver las actualizaciones disponibles: https://www.veritas.com/support/es_ES/downloads

Preguntas

Si tiene preguntas o problemas relacionados con estas vulnerabilidades, contáctese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES)

Reconocimiento

Veritas quiere agradecer a Palindrome Technologies por informarnos responsablemente de este problema.

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054