VTS22-012

Correctif pour Avis de sécurité affectant les serveurs et les clients NetBackup

Historique des révisions

  • 1.0 : Fin septembre 2022 – première version publique

Résumé

Veritas a résolu des vulnérabilités affectant les serveurs principaux et de médias, ainsi que les clients NetBackup.

Problèmes

Problème 1 : vulnérabilité de type « path traversal »

Le serveur principal NetBackup est vulnérable à une attaque de type « Path traversal » via le service DiscoveryService.

  • ID de CVE : CVE-2022-42305
  • Gravité : moyenne
  • Score de base CVSS v3.1 : 5,3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Composants affectés : le serveur principal, bien que les correctifs s'appliquent au serveur principal, au serveur de média et aux clients. Voir l'action recommandée ci-dessous.
  • Versions affectées : 10.0.0.1 et antérieures
  • Action recommandée :
  • Serveurs principaux, de médias et clients NetBackup : mettre à niveau vers la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.0.1 et appliquer le correctif approprié.
  • NetBackup Appliance : mettre à niveau vers une version de maintenance : 3.3.0.2, 4.0.0.1, 4.1.0.1 ou 5.0.0.1 MR1 et appliquer le correctif approprié. Correctif client non applicable.
  • Flex Appliance : appliquer le correctif NetBackup correspondant à la version du conteneur NetBackup sur les appliances Flex. Correctif client non applicable.
  • Flex Scale : veuillez contacter le support technique de Veritas et vous reporter à l'ID d'article de base de connaissances 100053006 pour obtenir un correctif.

Problème 2 : injection XML External Entity

  • Le serveur principal NetBackup est vulnérable à une attaque par injection XML External Entity via le service DiscoveryService.
  • ID de CVE : CVE-2022-42307
  • Gravité : moyenne
  • Score de base CVSS v3.1 : 5,3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Composants affectés : le serveur principal, bien que les correctifs s'appliquent au serveur principal, au serveur de média et aux clients. Voir l'action recommandée ci-dessous.
  • Versions affectées : 10.0.0.1 et antérieures
  • Action recommandée :
    • Serveurs principaux, de médias et clients NetBackup : mettre à niveau vers la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.0.1 et appliquer le correctif approprié.
    • NetBackup Appliance : mettre à niveau vers une version de maintenance : 3.3.0.2, 4.0.0.1, 4.1.0.1 ou 5.0.0.1 MR1 et appliquer le correctif approprié. Correctif client non applicable.
    • Flex Appliance : appliquer le correctif NetBackup correspondant à la version du conteneur NetBackup sur les appliances Flex. Correctif client non applicable.
    • Flex Scale : veuillez contacter le support technique de Veritas et vous reporter à l'ID d'article de base de connaissances 100053006 pour obtenir un correctif.

Problème 3 : Déni de service

Le serveur principal NetBackup est vulnérable à une attaque par déni de service via le service DiscoveryService.

  • ID de CVE : CVE-2022-42299
  • Gravité : moyenne
  • Score de base CVSS v3.1 : 5,3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  • Composants affectés : le serveur principal, bien que les correctifs s'appliquent au serveur principal, au serveur de média et aux clients. Voir l'action recommandée ci-dessous.
  • Versions affectées : 10.0.0.1 et antérieures
  • Action recommandée :
    • Serveurs principaux, de médias et clients NetBackup : mettre à niveau vers la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.0.1 et appliquer le correctif approprié.
    • NetBackup Appliance : mettre à niveau vers une version de maintenance : 3.3.0.2, 4.0.0.1, 4.1.0.1 ou 5.0.0.1 MR1 et appliquer le correctif approprié. Correctif client non applicable.
    • Flex Appliance : appliquer le correctif NetBackup correspondant à la version du conteneur NetBackup sur les appliances Flex. Correctif client non applicable.
    • Flex Scale : veuillez contacter le support technique de Veritas et vous reporter à l'ID d'article de base de connaissances 100053006 pour obtenir un correctif.

Remarques

Cet Avis de sécurité, VTS22-012, concerne également les problèmes identifiés dans VTS22-008, publié auparavant. Si vous n'avez pas encore appliqué l'avis VTS22-008, il n'est pas nécessaire d'appliquer VTS22-008 avant. Appliquez simplement VTS22-012. Si vous avez déjà appliqué l'avis VTS22-008, vous pouvez appliquer VTS22-012 par-dessus en toute sécurité.

Questions 

Pour toute question ou tout problème concernant cet avis, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR

Remerciements

Veritas tient à remercier les membres suivants de l'équipe de sécurité d'Airbus de lui avoir signalé ces problèmes : Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet, and Jean-Romain Garnier.

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS. TOUTES LES INDICATIONS RELATIVES A DE FUTURES EVOLUTIONS PRODUITS SONT PRELIMINAIRES, ET LES DATES DE LANCEMENT SONT PROVISOIRES ET SUSCEPTIBLES DE CHANGER. LES VERSIONS FUTURES DU PRODUIT OU LES MODIFICATIONS PREVUES DE CARACTERISTIQUES OU DE FONCTIONNALITES SONT EN EVALUATION PERMANENTE PAR VERITAS, ET SELON LES RESULTATS DE CES EVALUATIONS, ELLES PEUVENT NE PAS ETRE IMPLEMENTEES. ELLES NE DOIVENT DONC EN AUCUN CAS ETRE CONSIDEREES COMME DES ENGAGEMENTS FERMES DE LA PART DE VERITAS ET NE DOIVENT PAS INFLUENCER UNE DECISION.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054