VTS23-013
Notification curl et libcurl (CVE-2023-38545 et CVE-2023-38546)
Historique des révisions
- 1.0 : 11 octobre 2023 : version initiale
- 1.1 : 20 octobre 2023 : mise à jour provisoire
- 1.2 : 6 novembre 2023 : mise à jour provisoire
- 1.3 : 28 novembre 2023 : mise à jour provisoire
- 1.4 : 5 décembre 2023 : mise à jour provisoire
- 1.5 : 18 décembre 2023 : mise à jour provisoire
Produits : voir l'état ci-dessous.
Résumé
Veritas est au courant de l'existence récemment annoncée d'une vulnérabilité à gravité élevée dans curl et libcurl (CVE-2023-38545). Toutes les équipes de sécurité et de développement des produits Veritas sont en train de terminer l'évaluation de l'impact sur les produits Veritas.
État de vulnérabilité actuel pour CVE-2023-38545 et CVE-2023-38546 :
| Produit Veritas | État |
|---|---|
Access Appliance |
Affecté – Risque faible (uniquement impacté si la déduplication des données Veritas est configurée ou si un client NBU est configuré) *Voir les Recommandations NetBackup et Appliance ci-dessous |
Alta Archiving |
Non vulnérable |
Veritas Alta Backup as a Service |
Non vulnérable |
Alta Capture |
Non vulnérable |
Alta Data Protection |
Non vulnérable |
Alta eDiscovery |
Non vulnérable |
Alta Recovery Vault |
Non vulnérable |
Alta SaaS Protection |
Non vulnérable |
Alta Surveillance |
Non vulnérable |
Alta View |
Non vulnérable |
Backup Exec |
Non vulnérable |
Data Insight |
Non vulnérable |
Desktop and Laptop Option |
Impacté. Mettre à jour vers la version 9.8.3 à partir du Centre de téléchargements |
eDiscovery Platform |
Non vulnérable |
Enterprise Vault |
Enquête en cours |
InfoScale |
Non vulnérable |
Merge1 |
Non vulnérable |
NetBackup |
Affecté – Risque faible *Voir les Recommandations NetBackup et Appliance ci-dessous |
NetBackup Appliance |
Affecté – Risque faible *Voir les Recommandations NetBackup et Appliance ci-dessous |
NetBackup Flex Appliance |
Affecté – Risque faible *Voir les Recommandations NetBackup et Appliance ci-dessous |
NetBackup Flex Scale |
Affecté – Risque faible *Voir les Recommandations NetBackup et Appliance ci-dessous |
NetBackup IT Analytics |
Non vulnérable |
NetBackup OpsCenter |
Non vulnérable |
NetBackup Quick Assist |
Non vulnérable |
NetBackup Resiliency Platform |
Non vulnérable |
NetBackup Self Service |
Non vulnérable |
NetBackup Snapshot Manager |
Risque faible – **Voir les notes NetBackup Snapshot Manager ci-dessous |
System Health Insights |
Non vulnérable |
Veritas Advanced Supervision |
Non vulnérable |
Veritas InfoScale Operations Manager (VIOM) |
Non vulnérable |
Veritas System Recovery |
Affecté. Mettre à jour vers la version 23.2 à partir du Centre de téléchargements |
*Recommandations NetBackup et Appliance :
Veritas NetBackup considère CVE-2023-38545 comme présentant peu de risques pour les clients. Les clients peuvent continuer à utiliser les versions existantes de NetBackup. Nous recommandons aux clients qui craignent de rencontrer les conditions de vulnérabilité ci-dessous d'effectuer une mise à niveau vers NetBackup 10.1.1 ou une version ultérieure, puis d'installer l'EEB applicable pour résoudre le problème.
Les paramètres par défaut de NetBackup n'utilisent pas le protocole socks5h.
Pour exploiter cette vulnérabilité, l'attaquant doit être en mesure de :
- contrôler les entrées SERVER dans la configuration de NetBackup (bp.conf sous UNIX) ;
- contrôler la variable d'environnement du compte sous lequel les services NetBackup sont exécutés.
Les deux conditions ci-dessus ne peuvent être modifiées que par le compte administrateur/racine/de service.
Si vous avez encore des inquiétudes et que vous souhaitez appliquer une mise à jour, suivez l'action recommandée ci-dessous :
Composants affectés : serveurs principaux, serveurs de médias et clients
Versions affectées : 8.3 et versions ultérieures
Action recommandée :
Serveurs principaux et de médias NetBackup : mettre à niveau vers la version 10.1.1, 10.2.0.1 ou 10.3 et appliquer le ou les correctifs appropriés depuis le Centre de téléchargements.
Clients NetBackup : mettre à niveau vers la version 10.1.1, 10.2.0.1 ou 10.3 et appliquer le correctif approprié depuis le Centre de téléchargements.
NetBackup Appliance : mettre à niveau vers la version de maintenance 5.1.1 MR2 et appliquer le correctif approprié depuis le Centre de téléchargements.
Flex Appliance : mettre à niveau vers le conteneur NetBackup et appliquer le correctif NetBackup correspondant à la version du conteneur NetBackup.
Access Appliance : mettre à niveau vers la version 8.1 ou 8.1.100 (recommandé) et appliquer le correctif approprié depuis les téléchargements NetBackup 10.1.1.
Flex Scale : veuillez contacter le support technique de Veritas et mentionner VTS23-013 pour obtenir un correctif.
**Notes NetBackup Snapshot Manager :
Recommandations de RedHat : la faille nécessite qu'une série de conditions soient remplies et la probabilité qu'elles permettent à un attaquant d'en tirer parti est faible. Même si le bug pouvait être déclenché, le risque qu'une injection de cookie puisse être effectuée pour causer des dommages est également faible.
Questions
Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)
Clause de non-responsabilité
LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054