VTS23-002

Vulnérabilité des fichiers non signés dans NetBackup IT Analytics

Historique des révisions

  • 1.0 : 20 mars 2023 : version initiale
  • 1.1 : 30 mars 2023 : ID de CVE ajouté

Résumé

Le processus de mise à niveau de l'application Veritas NetBackup IT Analytics comprenait des fichiers non signés qui pouvaient être exploités et entraîner l'installation par un client de composants non authentifiés.

Problème

Un acteur malveillant pourrait installer des fichiers exécutables de collecteurs malveillants (aptare.jar, upgrademanager.zip) sur le serveur du portail NetBackup IT Analytics. Ces fichiers pourraient ensuite être téléchargés et installés sur les collecteurs. (CWE-347 : vérification incorrecte de la signature cryptographique)

Conditions préalables

L'acteur malveillant doit disposer d'un accès de rôle administratif/racine au serveur du portail NetBackup IT Analytics pour installer le composant non authentifié.

Versions affectées

Veritas NetBackup IT Analytics, versions 11.1 et 11.0. Les versions antérieures non prises en charge d'APTARE IT Analytics sont également concernées.

Remédiation

Les clients liés par un contrat de maintenance en cours doivent installer la version 11.2.0 de NetBackup IT Analytics.

Consultez le Centre de téléchargements Veritas pour découvrir les mises à jour disponibles : https://www.veritas.com/support/fr_FR/downloads

Questions

Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054