VTS22-013

HotFix per Security Advisory relativo ai server NetBackup

Cronologia delle revisioni

  • 1.0: fine settembre 2022 – Rilascio pubblico iniziale

Riepilogo

Veritas ha risolto due vulnerabilità relative ai server NetBackup primario e dei contenuti multimediali.

Problemi

Problema 1: inserimento XML External Entity

Il server NetBackup primario è vulnerabile agli attacchi di inserimento XML External Entity (XXE) tramite il processo nbars.

  • ID CVE: CVE-2022-42301
  • Gravità: media
  • Punteggio base CVSS v3.1: 5.4 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L)
  • Componenti interessati: server primario e dei contenuti multimediali
  • Versioni interessate: 10.0.0.1 e precedenti
  • Azioni consigliate:
    • Server NetBackup primario e dei contenuti multimediali: eseguire l'upgrade alle versioni 8.3.0.2, 9.0.0.1, 9.1.0.1 o 10.0.0.1 e applicare l'HotFix appropriato.
    • Client NetBackup: non interessati. Nessuna azione richiesta.
    • Appliance NetBackup: eseguire l'upgrade a qualsiasi versione di manutenzione MR1 3.3.0.2, 4.0.0.1, 4.1.0.1 o 5.0.0.1 e applicare l'HotFix appropriato.
    • Appliance Flex: applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup sulle appliance Flex.
    • Flex Scale: contattare il supporto tecnico di Veritas e fare riferimento all'articolo della Knowledge Base ID 100053006 per la correzione.

Problema 2: Denial of service

Il processo nbars del server NetBackup primario può subire un arresto anomalo con un conseguente attacco Denial of service. (Nota: il servizio watchdog riavvierà automaticamente il processo.)

  • ID CVE: CVE-2022-42300
  • Gravità: media
  • Punteggio base CVSS v3.1: 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
  • Componenti interessati: server primario e dei contenuti multimediali
  • Versioni interessate: 10.0.0.1 e precedenti
  • Azioni consigliate:
    • Server NetBackup primario e dei contenuti multimediali: eseguire l'upgrade alle versioni 8.3.0.2, 9.0.0.1, 9.1.0.1 o 10.0.0.1 e applicare l'HotFix appropriato.
    • Client NetBackup: non interessati. Nessuna azione richiesta.
    • Appliance NetBackup: eseguire l'upgrade a qualsiasi versione di manutenzione MR1 3.3.0.2, 4.0.0.1, 4.1.0.1 o 5.0.0.1 e applicare l'HotFix appropriato.
    • Appliance Flex: applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup sulle appliance Flex
    • Flex Scale: contattare il supporto tecnico di Veritas e fare riferimento all'articolo della Knowledge Base ID 100053006 per la correzione.

Note

Questo Security Advisory, VTS22-013, risolve anche i problemi identificati in VTS22-004 e VTS22-011, rilasciati in precedenza. Se VTS22-004 o VTS22-011 non sono stati ancora applicati, non è necessario applicarli prima. Se VTS22-004 o VTS22-011 sono già stati applicati, è possibile applicarvi in sicurezza VTS22-013 in aggiunta.

Domande

Per domande o problemi relativi a questo advisory, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT

Riconoscimenti

Veritas desidera ringraziare i membri del team Airbus Security elencati di seguito per aver segnalato i problemi presenti in questo avviso: Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet e Jean-Romain Garnier.

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO. QUALSIASI INDICAZIONE DI PIANI PER I PRODOTTI È DA CONSIDERARSI PRELIMINARE E TUTTE LE DATE DI RILASCIO FUTURE SONO PROVVISORIE E SOGGETTE A MODIFICA. QUALSIASI VERSIONE FUTURA DEL PRODOTTO O MODIFICA PIANIFICATA ALLE CAPACITÀ, FUNZIONALITÀ O CARATTERISTICHE DEL PRODOTTO È SOGGETTA ALLA COSTANTE VALUTAZIONE DA PARTE DI VERITAS, PUÒ NON ESSERE IMPLEMENTATA E NON DEVE ESSERE CONSIDERATA COME IMPEGNO DEFINITIVO DA PARTE DI VERITAS NÉ TANTOMENO ESSERE UTILIZZATA COME BASE PER LE DECISIONI.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054