VTS23-005

Notification XStream de la CISA

Historique des révisions

  • 1.0 : 30 mars 2023 – première version publique
  • 1.1 : 4 avril 2023 – ajout de clarifications sur les recommandations de mise à niveau

Veritas a connaissance de la vulnérabilité à gravité élevée de XStream qui a été ajoutée au catalogue des vulnérabilités exploitées connues de la CISA le 10 mars 2023 (CVE-2021-39144). Veritas a déterminé que NetBackup, NetBackup Appliance, NetBackup Access Appliance et NetBackup Flex Scale incluent ce composant XStream. NetBackup Flex Appliance n'inclut pas de composant XStream. Voir ci-dessous pour en savoir plus sur l'impact et les actions à entreprendre :

NetBackup

  • Aucune version de NetBackup n'est impactée par ce problème.
  • Les versions antérieures à la version 10.0 incluent une version vulnérable de XStream et ne sont pas exploitables.
    • Pour limiter les avertissements de l'outil d'analyse des vulnérabilités : mettre à niveau vers la version 10.0 ou une version ultérieure.
  • La version 10.0 et les versions ultérieures n'incluent pas de version vulnérable de XStream.
    • Aucune action requise.

NetBackup Appliance

  • Aucune version de NetBackup Appliance n'est impactée par ce problème.
  • Seule la version 3.3.0.2 inclut une version vulnérable de XStream et n'est pas exploitable.
  • Pour limiter les avertissements de l'outil d'analyse des vulnérabilités : mettre à niveau vers la version 4.x ou 5.x.

NetBackup Access Appliance

  • Aucune version de NetBackup Access Appliance n'est impactée par ce problème.
  • Seule la version 7.4.2.400 inclut une version vulnérable de XStream et n'est pas exploitable.
  • Pour limiter les avertissements de l'outil d'analyse des vulnérabilités : mettre à niveau vers la version 7.4.3 ou 8.x.

NetBackup Flex Scale

  • Aucune version de NetBackup Flex Scale n'est impactée par ce problème.
  • La version 2.1 inclut une version vulnérable de XStream et n'est pas exploitable.
  • Pour limiter les avertissements de l'outil d'analyse des vulnérabilités : mettre à niveau vers la version 3.0.

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.