Historique des révisions
- 1.0 : 13 juillet 2022, publication initiale
- 2.0 : 18 juillet 2022, article mis à jour pour inclure des problèmes supplémentaires
Résumé
Veritas a corrigé plusieurs vulnérabilités affectant NetBackup OpsCenter.
Des correctifs sont uniquement disponibles pour les versions suivantes de NetBackup :
- Correctif NetBackup OpsCenter 8.3.0.2 - Avis de sécurité VTS22-009 et Apache Log4J 2.17.1
- Correctif NetBackup OpsCenter 9.0.0.1 - Avis de sécurité VTS22-009 et Apache Log4J 2.17.1
- Correctif NetBackup OpsCenter 9.1.0.1 - Avis de sécurité VTS22-009 et Apache Log4J 2.17.1
- Correctif NetBackup OpsCenter 10.0 - Avis de sécurité VTS22-009 (la version 10.0 inclut Apache Log4J 2.17.1)
Actions correctives
Pour remédier à toutes les vulnérabilités répertoriées ci-dessous, passez à la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0, et appliquez le correctif approprié (voir les liens ci-dessus).
Problème
Problème 1: Création/Modification de compte non autorisée
Dans des conditions spécifiques, un attaquant distant authentifié pourrait créer ou modifier des comptes.
- ID de CVE : CVE-2022-36954
- Gravité : critique
- Score de base v3.1 : 9,9 (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)
- Versions affectées : 10.0 et antérieures
- Actions recommandées :
- Passez en revue les comptes d'utilisateur OpsCenter pour vous assurer que cette vulnérabilité n'a pas été exploitée dans votre implémentation OpsCenter. Utilisez ces instructions pour afficher les informations sur les comptes d'utilisateur OpsCenter.
- Passez à la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0, et appliquez le correctif approprié.
Problème 2 : Exécution de commande distante
Un attaquant distant non authentifié pourrait compromettre l'hôte en exploitant une vulnérabilité mal corrigée.
- ID de CVE : CVE-2022-36951
- Gravité : critique
- Score de base v3.1 : 9,8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Versions affectées : 9.1.0.1 et antérieures
- Action recommandée : passez à la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0, et appliquez le correctif approprié.
Problème 3 : Exécution de commande distante
Un attaquant distant non authentifié pourrait exécuter une commande distante via une manipulation de chargeur de classes Java.
- ID de CVE : CVE-2022-36950
- Gravité : critique
- Score de base v3.1 : 9,8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Versions affectées : 8.2 et antérieures
- Action recommandée : passez à la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.
Problème 4 : Vulnérabilité de type « path traversal »
NetBackup OpsCenter peut être vulnérable à une attaque de type « path traversal » via le composant tiers esapi-2.2.3.1.
- ID de CVE : CVE-2022-23457
- Gravité : critique
- Score de base v3.1 : 9,8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Versions affectées : 10.0 et antérieures
- Action recommandée : passez à la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0, et appliquez le correctif.
Problème 5 : Élévation locale des privilèges
Un attaquant disposant d'un accès local à un serveur NetBackup OpsCenter pourrait relever ses privilèges.
- ID de CVE : CVE-2022-36949
- Gravité : critique
- Score de base CVSS v3.1 : 9,3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
- Versions affectées : 8.2 et antérieures
- Action recommandée : passez à la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.
Problème 6 : Vulnérabilité des accréditations programmées en dur
Une accréditation programmée en dur a été découverte dans NetBackup OpsCenter et pourrait être utilisée pour exploiter le sous-système VxSS sous-jacent.
- ID de CVE :CVE-2022-36952
- Gravité : élevée
- Score de base CVSS v3.1 : 8,4 (AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Versions affectées : 10.0 et antérieures
- Action recommandée : passez à la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0, et appliquez le correctif approprié.
Problème 7 : Vulnérabilité XSS DOM
NetBackup OpsCenter est vulnérable à une attaque XSS DOM.
- ID de CVE : CVE-2022-36948
- Gravité : moyenne
- Score de base CVSS v3.1 : 5,4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
- Versions affectées : 10.0 et antérieures
- Action recommandée : passez à la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0, et appliquez le correctif approprié.
Problème 8 : Fuite d'informations
Certains terminaux OpsCenter pourraient autoriser un attaquant distant non authentifié à obtenir des informations sensibles.
- ID de CVE : CVE-2022-36953
- Gravité : moyenne
- Score de base CVSS v3.1 : 4,3 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
- Versions affectées : 8.2 et antérieures
- Action recommandée : passez à la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.
Remarques
Vous pouvez également utiliser le NetBackup HotFix and EEB Release Auditor sur le site SORT pour vérifier si un EEB ou un correctif a déjà été fourni dans une version publiée du produit. Ces informations sont également disponibles dans le document « NetBackup Emergency Engineering Binary Guide » pour cette version. Si vous ne trouvez pas les informations que vous recherchez sur un correctif ou un EEB, contactez le support technique de Veritas.
Questions
Pour toute question ou tout problème concernant cette vulnérabilité, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)
Remerciements
Veritas tient à remercier les membres suivants de l'équipe de sécurité d'Airbus de lui avoir signalé plusieurs des problèmes répertoriés dans cet avis : Mouad Abouhali, Benoit Camredon, Nicholas Devillers, Anais Gantet et Jean-Romain Garnier.
Clause de non-responsabilité
LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.
Veritas Technologies LLC
, 2625 Augustine Drive
, Santa Clara, CA 95054