VTS22-010

Correctif pour Avis de sécurité affectant les clients et les serveurs NetBackup

Historique des révisions

  • 1.0 : Fin septembre 2022 – première version publique
  • 1.1 : mars 2023 – ajout du problème 3

Résumé

Veritas a résolu des vulnérabilités affectant des serveurs et des clients NetBackup.

Problèmes

Problème 1 : suppression arbitraire de fichier

Un attaquant disposant d'un accès local peut arbitrairement supprimer des fichiers en exploitant une vulnérabilité de type « Path Traversal » dans le code d'enregistrement de pbx_exchange.

  • CVE ID: CVE-2022-42308
  • Gravité : critique
  • Score de base CVSS v3.1 : 9,0 (AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H)
  • Versions affectées : 8.2 et antérieures
  • Action recommandée :
    • Serveurs NetBackup : mettre à jour vers la version 8.2 et appliquer le correctif approprié OU mettre à jour vers la version 8.3.x ou vers une version ultérieure.
    • Clients NetBackup : mettre à jour vers la version 8.2 ou 8.1.2 et appliquer le correctif approprié OU mettre à jour vers la version 8.3.x ou vers une version ultérieure.
    • NetBackup Appliance : mettre à jour vers la version 3.2 et appliquer le correctif approprié OU mettre à jour vers la version 3.3.x ou vers une version ultérieure.
    • Flex Appliance : appliquer le correctif NetBackup correspondant à la version du conteneur NetBackup sur les appliances Flex.
    • Flex Scale : pas d'impact.

Problème 2 : Déni de service

Un attaquant disposant d'un accès local peut envoyer un paquet spécialement conçu à pbx_exchange pendant l'enregistrement et provoquer une exception de type null-pointer, ce qui a pour effet de planter le processus pbx_exchange.

  • CVE ID: CVE-2022-42306
  • Gravité : moyenne
  • Score de base CVSS v3.1 : 6,5 (AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H)
  • Versions affectées : 8.2 et antérieures
  • Action recommandée :
    • Serveurs NetBackup : mettre à jour vers la version 8.2 et appliquer le correctif approprié OU mettre à jour vers la version 8.3.x ou vers une version ultérieure.
    • Clients NetBackup : mettre à jour vers la version 8.2 ou 8.1.2 et appliquer le correctif approprié OU mettre à jour vers la version 8.3.x ou vers une version ultérieure.
    • NetBackup Appliance : mettre à jour vers la version 3.2 et appliquer le correctif approprié OU mettre à jour vers la version 3.3.x ou vers une version ultérieure.
    • Flex Appliance : appliquer le correctif NetBackup correspondant à la version du conteneur NetBackup sur les appliances Flex.
    • Flex Scale : pas d'impact.

Remarques

Cet Avis de sécurité, VTS22-010, concerne également les problèmes identifiés dans VTS22-008 publié auparavant. Si vous n'avez pas encore appliqué l'avis VTS22-008, il n'est pas nécessaire de l'appliquer avant d'installer le présent avis. Si vous avez déjà appliqué l'avis VTS22-008, vous pouvez appliquer VTS22-010 par-dessus en toute sécurité.

Questions

Pour toute question ou tout problème concernant cette vulnérabilité, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)

Remerciements

Veritas tient à remercier les membres suivants de l'équipe de sécurité d'Airbus de lui avoir signalé les problèmes 1 et 2 :
Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet et Jean-Romain Garnier.

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054