Vulnérabilité d'exécution de code à distance affectant les serveurs et clients NetBackup

VTS23-010

Vulnérabilité d'exécution de code à distance affectant les serveurs et clients NetBackup

Historique des révisions

1.0 : 18 juillet 2023 – première version publique

Résumé

Veritas a corrigé une vulnérabilité d'exécution de code à distance (RCE) affectant les serveurs et les clients NetBackup.

Exécution de code à distance

Le processus BPCD de NetBackup ne valide pas correctement le chemin d'accès au fichier, ce qui permet à un attaquant non authentifié de télécharger et d'exécuter un fichier personnalisé.

ID CVE : à annoncer
Gravité : critique
Score de base v3.1 : 9,8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Version et produits affectés :
- Serveur principal, serveur de médias et clients NetBackup : versions antérieures à 8.1.2
- NetBackup Appliance : versions antérieures à la 3.1.2
Action recommandée :
- Pour NetBackup : si vous utilisez une version antérieure à 8.1.2, mettez à niveau vers la version 8.3.0.2 ou une version ultérieure. Si vous utilisez actuellement la version 8.1.2 ou une version ultérieure, aucune action n'est requise.
- Pour NetBackup Appliance : si vous utilisez une version antérieure à 3.1.2, mettez à niveau vers la version 3.3.0.2 MR2 ou une version ultérieure. Si vous utilisez actuellement la version 3.1.2 ou une version ultérieure, aucune action n'est requise.

Questions

Pour toute question ou tout problème concernant cette vulnérabilité, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS. TOUTES LES INDICATIONS RELATIVES À DE FUTURES ÉVOLUTIONS PRODUITS SONT PRÉLIMINAIRES, ET LES DATES DE LANCEMENT SONT PROVISOIRES ET SUSCEPTIBLES DE CHANGER. LES VERSIONS FUTURES DU PRODUITS OU LES MODIFICATIONS PRÉVUES DE CARACTÉRISTIQUES OU DE FONCTIONNALITÉS SONT EN ÉVALUATION PERMANENTE PAR VERITAS, ET SELON LES RÉSULTATS DE CES ÉVALUATIONS, ELLES PEUVENT NE PAS ÊTRE IMPLÉMENTÉES. ELLES NE DOIVENT DONC EN AUCUN CAS ÊTRE CONSIDÉRÉES COMME DES ENGAGEMENTS FERMES DE LA PART DE VERITAS ET NE DOIVENT PS INFLUENCER UNE DÉCISION.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054