Cronologia delle revisioni
- 1.0: 1 aprile 2022: versione iniziale
- 2.0: 8 aprile 2022: aggiunti Access BYOS e InfoScale VEA come non vulnerabili
- 3.0: 22 aprile 2022: aggiunti diversi appliance con suggerimenti per risolvere i problemi
Riepilogo
È stata identificata una vulnerabilità all'esecuzione di codice remoto in Spring Framework tramite data binding su JDK 9+ (CVE-2022-22965) in diversi appliance Veritas. Sono interessati i seguenti prodotti Veritas:
| Prodotto | Versioni vulnerabili | Versioni corrette | ID CVE | Riparazione |
|---|---|---|---|---|
|
Access Appliance |
7.4.3/7.4.3.100/7.4.3.200 |
7.4.3.300 |
||
|
Flex Appliance |
1.3.x, 2.0, 2.0.1, 2.0.2, 2.1 |
2.0.2 con Hotfix |
||
|
NetBackup Appliance/ |
4.0/4.0.0.1 MR1/4.0.0.1 MR2 |
4.0.0.1 MR3 con Hotfix |
||
|
NetBackup Flex Scale Appliance |
2.1, 3.0 |
2.1 Hotfix |
Problema
I prodotti Veritas indicati sopra includono applicazioni Spring Framework in esecuzione su Java JDK 9 e possono essere vulnerabili all'esecuzione di codice remoto (RCE) tramite data binding.
Gravità: critica
CVSS v3.1 Punteggio base 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
La vulnerabilità di Spring Framework è dovuta a una neutralizzazione impropria di elementi speciali utilizzati in un comando del sistema operativo (CWE-78) che consente a un utente malintenzionato di caricare una classe dannosa arbitraria, con conseguente possibile esecuzione di codice dannoso sul server..
Riparazione
I clienti con un contratto di manutenzione/supporto in corso devono eseguire l'aggiornamento a una delle versioni corrette riportate nella tabella sopra.
Prodotti Veritas non interessati
I seguenti prodotti Veritas includono Spring Framework, tuttavia riteniamo che tale vulnerabilità non sia sfruttabile in essi in base alle informazioni in nostro possesso. Veritas aggiornerà questa comunicazione qualora ci fossero delle modifiche.
| Prodotto | Vulnerabile | Commenti |
|---|---|---|
|
Access Appliance 7.4.2.x |
No |
Non utilizza JDK >= 9 |
|
CloudPoint |
No |
Non utilizza JDK >= 9 |
|
Data Insight |
No |
Non utilizza JDK >= 9 |
|
eDiscovery |
No |
Non utilizza JDK >= 9 |
|
NetBackup |
No |
Non utilizza JDK >= 9 |
|
NetBackup Appliance 3.x |
No |
Non utilizza JDK >= 9 |
|
NetBackup Appliance 5.x |
No |
Utilizza Spring Framework 5.3.18 |
|
NetBackup Virtual Appliance 3.x |
No |
Non utilizza JDK >= 9 |
|
NetBackup Virtual Appliance 5.x |
No |
Utilizza Spring Framework 5.3.18 |
|
NetBackup IT Analytics (in precedenza APTARE) |
No |
Non distribuisce Spring in un file WAR |
|
NetBackup OpsCenter |
No |
Non utilizza JDK >= 9 |
|
Veritas InfoScale Operations Manager (VIOM) |
No |
Non utilizza JDK >= 9 |
|
Veritas Resiliency Platform (VRP) |
No |
Non utilizza JDK >= 9 |
I seguenti prodotti Veritas non includono Spring Framework e non sono interessati dalla vulnerabilità:
- Access BYOS
- Appliance Management Server (AMS)
- Backup Exec
- Desktop and Laptop Option
- Enterprise Vault
- Enterprise Vault.cloud
- InfoScale core stack (VCS / VM / FS)
- InfoScale Veritas Enterprise Administrator (VEA)
- NetBackup Recovery Vault
- NetBackup SaaS Protection
- Merge1
- Quick Assist
- Veritas Advanced Supervision
- Veritas System Recovery (VSR)
Domande
Per domande o problemi relativi a queste vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT).
Dichiarazione di non responsabilità
IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.
Veritas Technologies LLC,
2625 Augustine Drive,
Santa Clara, CA 95054