VTS23-013
Notificación de curl y libcurl (CVE-2023-38545 y CVE-2023-38546)
Historial de revisiones
- 1.0: 11 de octubre de 2023, versión inicial
- 1.1: 20 de octubre de 2023, actualización provisional
- 1.2: 6 de noviembre de 2023, actualización provisional
- 1.3: 28 de noviembre de 2023, actualización provisional
- 1.4: 5 de diciembre de 2023, actualización provisional
- 1.5: 18 de diciembre de 2023, actualización provisional
Productos: vea el siguiente estado.
Resumen
Veritas es consciente de la vulnerabilidad de alta gravedad recientemente anunciada en curl y libcurl (CVE-2023-38545). Todos los equipos de seguridad y desarrollo de productos Veritas están completando la evaluación de cualquier impacto de los productos Veritas.
Estado actual de vulnerabilidad para CVE-2023-38545 y CVE-2023-38546:
| Producto Veritas | Estado |
|---|---|
Access Appliance |
Afectado: riesgo bajo (solo afectado si la eliminación de datos duplicados de Veritas está configurada o el cliente NBU está configurado) *Consulte la guía de NetBackup y Appliance a continuación |
Alta Archiving |
No vulnerable |
Alta Backup as a Service |
No vulnerable |
Alta Capture |
No vulnerable |
Alta Data Protection |
No vulnerable |
Alta eDiscovery |
No vulnerable |
Alta Recovery Vault |
No vulnerable |
Alta SaaS Protection |
No vulnerable |
Alta Surveillance |
No vulnerable |
Alta View |
No vulnerable |
Backup Exec |
No vulnerable |
Data Insight |
No vulnerable |
Desktop and Laptop Option |
Afectado. Actualice a la versión 9.8.3 desde el Centro de descargas |
eDiscovery Platform |
No vulnerable |
Enterprise Vault |
En investigación |
InfoScale |
No vulnerable |
Merge1 |
No vulnerable |
NetBackup |
Afectado: riesgo bajo *Consulte la guía de NetBackup y Appliance a continuación |
NetBackup Appliance |
Afectado: riesgo bajo *Consulte la guía de NetBackup y Appliance a continuación |
NetBackup Flex Appliance |
Afectado: riesgo bajo *Consulte la guía de NetBackup y Appliance a continuación |
NetBackup Flex Scale |
Afectado: riesgo bajo *Consulte la guía de NetBackup y Appliance a continuación |
NetBackup IT Analytics |
No vulnerable |
NetBackup OpsCenter |
No vulnerable |
NetBackup Quick Assist |
No vulnerable |
NetBackup Resiliency Platform |
No vulnerable |
NetBackup Self Service |
No vulnerable |
NetBackup Snapshot Manager |
Riesgo bajo: **Consulte las notas de NetBackup Snapshot Manager a continuación |
System Health Insights |
No vulnerable |
Veritas Advanced Supervision |
No vulnerable |
Veritas InfoScale Operations Manager (VIOM) |
No vulnerable |
Veritas System Recovery |
Afectado. Actualice a la versión 23.2 desde el Centro de descargas |
*Guía de NetBackup y Appliance:
Veritas NetBackup considera que CVE-2023-38545 presenta un riesgo muy bajo para los clientes. Los clientes pueden seguir utilizando las versiones existentes de NetBackup. Se recomienda que los clientes a quienes les preocupa que puedan estar expuestos a las condiciones de vulnerabilidad que se indican a continuación actualicen a NetBackup 10.1.1 o versiones superiores y luego instalen el EEB correspondiente para solucionar el problema.
La configuración predeterminada de NetBackup no utiliza el protocolo socks5h.
Para aprovecharse de esta vulnerabilidad, el atacante debe ser capaz de:
- controlar las entradas SERVER en la configuración de NetBackup (bp.conf en UNIX)
- controlar la variable de entorno de la cuenta donde se ejecutan los servicios de NetBackup
Ambas condiciones solo pueden ser modificadas por la cuenta administrador/raíz/servicio.
Si aún tiene dudas y desea aplicar una actualización, siga la acción que se recomienda a continuación:
Componentes afectados: servidores primarios, servidores de soportes y clientes
Versiones afectadas: 8.3 y superior
Acción recomendada:
Servidores primarios y de soportes de NetBackup: actualice a 10.1.1, 10.2.0.1 o 10.3 y aplique las correcciones adecuadas desde el Centro de descargas.
Clientes de NetBackup: actualice a 10.1.1, 10.2.0.1 o 10.3 y aplique la corrección adecuada desde el Centro de descargas.
NetBackup Appliance: actualice a la versión de mantenimiento 5.1.1 MR2 y aplique la corrección adecuada desde el Centro de descargas.
Flex Appliance: actualice el contenedor de NetBackup y aplique la corrección de NetBackup correspondiente a la versión del contenedor de NetBackup.
Access Appliance: actualice a 8.1 u 8.1.100 (recomendado) y aplique la corrección adecuada desde las descargas de NetBackup 10.1.1.
Flex Scale: contáctese con el Soporte Técnico de Veritas y haga referencia a VTS23-013 para obtener reparación.
**Notas de NetBackup Snapshot Manager:
Guía de RedHat: la falla requiere que se cumpla una serie de condiciones, y la probabilidad de que permita a un atacante aprovecharse de ella es baja. Incluso si el error se produjera, el riesgo de que se pueda hacer una inyección de cookies para causar daño también es bajo.
Preguntas
Si tiene preguntas o problemas relacionados con estas vulnerabilidades, contáctese con el Soporte Técnico de Veritas (https://www.veritas.com/support/es_ES)
Renuncia de responsabilidad
EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054