VTS23-011
Vulnérabilité permettant de contourner l'authentification RabbitMQ avec NetBackup Snapshot Manager
Historique des révisions
- 1.0 : 26 juillet 2023 : version initiale
- 1.1 : 28 juillet 2023 : description du problème mise à jour
- 1.2: 25 août 2023: Id. de CVE agregado
Résumé
Une vulnérabilité a été découverte dans Veritas NetBackup Snapshot Manager, permettant à des clients non fiables d'interagir avec le service RabbitMQ.
Problème
La vulnérabilité est due à une validation incorrecte du certificat du client en raison d'une mauvaise configuration du service RabbitMQ. L'exploitation de cette vulnérabilité a un impact sur la confidentialité et l'intégrité des messages contrôlant les tâches de sauvegarde et de restauration et peut entraîner l'indisponibilité du service. Cette vulnérabilité n'affecte que les tâches contrôlant les activités de sauvegarde et de restauration et ne permet pas l'accès ou la suppression des données du snapshot de sauvegarde lui-même. Cette vulnérabilité est limitée à la fonction NetBackup Snapshot Manager et n'a pas d'impact sur l'instance RabbitMQ sur les serveurs principaux NetBackup.
- ID CVE : CVE-2023-40256
- Gravité : critique
- Score de base v3.1 : 9,8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- CWE : 295 - Validation incorrecte du certificat
Versions affectées
Veritas NetBackup Snapshot Manager versions 8.3.0.1, 8.3.0.2, 9.0, 9.1, 9.1.0.1, 10.0, 10.0.0.1, 10.1, 10.1.1, 10.2. Les versions antérieures non prises en charge de l'application Veritas NetBackup CloudPoint peuvent également être affectées.
Remédiation
Les clients liés par un contrat de maintenance en cours doivent mettre à jour NetBackup Snapshot Manager comme décrit ci-dessous :
- Mettre à niveau vers la version 10.2.0.1 (hautement recommandé)
- Déployer le correctif v 10.1.1 (la mise à niveau vers la version 10.1.1 est un prérequis)
- Déployer le correctif v 10.0.0.1 (la mise à niveau vers la version 10.0.0.1 est un prérequis)
Consultez le Centre de téléchargements Veritas pour découvrir les mises à jour disponibles : https://www.veritas.com/support/fr_FR/downloads
Questions
Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)
Remerciements
Veritas aimerait remercier Palindrome Technologies de nous avons signalé ce problème de manière responsable.
Clause de non-responsabilité
LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054