VTS22-013

Correctif pour Avis de sécurité affectant les serveurs NetBackup

Historique des révisions

  • 1.0 : Fin septembre 2022 – première version publique

Résumé

Veritas a résolu des vulnérabilités affectant les serveurs principaux et de médias NetBackup.

Problèmes

Problème 1 : injection XML External Entity

Le serveur principal NetBackup est vulnérable à une attaque par injection XML External Entity via le processus nbars.

  • ID de CVE : CVE-2022-42301
  • Gravité : moyenne
  • Score de base CVSS v3.1 : 5,4 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L)
  • Composants affectés : serveurs principaux et de médias
  • Versions affectées : 10.0.0.1 et antérieures
  • Action recommandée :
    • Serveurs NetBackup principaux et de médias : mettre à niveau vers la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.0.1 et appliquer le correctif approprié.
    • Clients NetBackup : pas d'impact. Aucune action n'est requise.
    • NetBackup Appliance : mettre à niveau vers une version de maintenance : 3.3.0.2, 4.0.0.1, 4.1.0.1 ou 5.0.0.1 MR1 et appliquer le correctif approprié.
    • Flex Appliance : appliquer le correctif NetBackup correspondant à la version du conteneur NetBackup sur les appliances Flex.
    • Flex Scale : veuillez contacter le support technique de Veritas et vous reporter à l'ID d'article de base de connaissances 100053006 pour obtenir un correctif.

Problème 2 : Déni de service

Le processus nbars du serveur principal NetBackup peut être arrêté brutalement, ce qui entraîne une attaque par déni de service. (Remarque : le service observateur redémarrera automatiquement le processus.)

  • ID de CVE : CVE-2022-42300
  • Gravité : moyenne
  • Score de base CVSS v3.1 : 4,3 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
  • Composants affectés : serveurs principaux et de médias
  • Versions affectées : 10.0.0.1 et antérieures
  • Action recommandée :
    • Serveurs principaux et de médias NetBackup : mettre à niveau vers la version 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.0.1 et appliquer le correctif approprié.
    • Clients NetBackup : pas d'impact. Aucune action n'est requise.
    • NetBackup Appliance : mettre à niveau vers une version de maintenance : 3.3.0.2, 4.0.0.1, 4.1.0.1 ou 5.0.0.1 MR1 et appliquer le correctif approprié.
    • Flex Appliance : appliquer le correctif NetBackup correspondant à la version du conteneur NetBackup sur les appliances Flex.
    • Flex Scale : veuillez contacter le support technique de Veritas et vous reporter à l'ID d'article de base de connaissances 100053006 pour obtenir un correctif.

Remarques

Cet Avis de sécurité, VTS22-013, concerne également les problèmes identifiés dans les avis VTS22-004 et VTS22-011, publiés auparavant. Si vous n'avez pas encore appliqué l'avis VTS22-004 ou VTS22-011, il n'est pas nécessaire de les appliquer avant. Si vous avez déjà appliqué l'avis VTS22-004 ou VTS22-011, vous pouvez appliquer VTS22-013 par-dessus en toute sécurité.

Questions

Pour toute question ou tout problème concernant cet avis, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR

Remerciements

Veritas tient à remercier les membres suivants de l'équipe de sécurité d'Airbus de lui avoir signalé ces problèmes : Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet, and Jean-Romain Garnier.

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS. TOUTES LES INDICATIONS RELATIVES A DE FUTURES EVOLUTIONS PRODUITS SONT PRELIMINAIRES, ET LES DATES DE LANCEMENT SONT PROVISOIRES ET SUSCEPTIBLES DE CHANGER. LES VERSIONS FUTURES DU PRODUIT OU LES MODIFICATIONS PREVUES DE CARACTERISTIQUES OU DE FONCTIONNALITES SONT EN EVALUATION PERMANENTE PAR VERITAS, ET SELON LES RESULTATS DE CES EVALUATIONS, ELLES PEUVENT NE PAS ETRE IMPLEMENTEES. ELLES NE DOIVENT DONC EN AUCUN CAS ETRE CONSIDEREES COMME DES ENGAGEMENTS FERMES DE LA PART DE VERITAS ET NE DOIVENT PAS INFLUENCER UNE DECISION.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054