VTS22-015

HotFix per Security Advisory relativo a NetBackup Java Admin Console

Cronologia delle revisioni

  • 1.0: 15 novembre 2022 – Rilascio pubblico iniziale
  • 1.1: 18 novembre 2022 – aggiunto l'ID CVE

Riepilogo

Veritas ha risolto una vulnerabilità di inserimento di comandi di sistema operativo che interessava NetBackup Java Admin Console. Consultare la sezione “Note” di seguito per determinare se si sia interessati dal problema. Solo gli utenti aggiunti espressamente al file auth.conf possono sfruttare questa vulnerabilità.

Problemi

Vulnerabilità di inserimento di comandi di sistema operativo

Una vulnerabilità in NetBackup Java Admin Console permettava a utenti non root che avevano eseguito l'autenticazione e che erano stati aggiunti espressamente al file auth.conf di eseguire comandi arbitrari come root.

  • CVE ID: CVE-2022-45461
  • Gravità: alta
  • Punteggio base CVSS v3.1: 7.5 AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Componenti potenzialmente interessati: server primari, media server e client. Vedere le note di seguito.
  • Azioni consigliate:
    • NetBackup: eseguire l'upgrade alla versione 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0.0.1 o 10.1 e applicare l'HotFix corrispondente
    • Appliance NetBackup: eseguire l'upgrade alla versione 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1 o 5.0.0.1 MR1 e applicare l'HotFix appropriato.
    • Appliance Flex: applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup sulle appliance Flex.
    • Flex Scale: contattare il supporto tecnico di Veritas e fare riferimento all'articolo della Knowledge Base ID 100053006 per la correzione.

Note

Il file /usr/openv/java/auth.conf concede l'accesso alle funzioni in NetBackup Administration Console. Questo file viene creato per impostazione predefinita solo con root con diritti amministrativi. Questo file è presente su server primari, media server e client.

A meno che il file auth.conf non venga modificato aggiungendovi utenti non root e consentendo a tali utenti di gestire server primari, media server o client, l'ambiente NON È vulnerabile e la correzione non è richiesta.

Sono interessati solo server e client basati su Unix. Server e client basati su Windows non sono interessati.

La correzione aggiorna il file binario bpjava vulnerabile sul sistema di destinazione a cui si connette la console Java Admin UI.

Per ulteriori dettagli sul file auth.conf, consultare: https://www.veritas.com/content/support/it_IT/doc/21733320-149123528-0/v41641695-149123528

Domande

Per domande o problemi relativi a questo advisory, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT)

Riconoscimenti

Veritas desidera ringraziare il Nordea Backup Team per averci segnalato il problema.

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE IN QUESTA DOCUMENTAZIONE SONO SOGGETTE A MODIFICA SENZA PREAVVISO. QUALSIASI INDICAZIONE DI PIANI PER I PRODOTTI È DA CONSIDERARSI PRELIMINARE E TUTTE LE DATE DI RILASCIO FUTURE SONO PROVVISORIE E SOGGETTE A MODIFICA. QUALSIASI VERSIONE FUTURA DEL PRODOTTO O MODIFICA PIANIFICATA ALLE CAPACITÀ, FUNZIONALITÀ O CARATTERISTICHE DEL PRODOTTO È SOGGETTA ALLA COSTANTE VALUTAZIONE DA PARTE DI VERITAS, PUÒ NON ESSERE IMPLEMENTATA E NON DEVE ESSERE CONSIDERATA COME IMPEGNO DEFINITIVO DA PARTE DI VERITAS NÉ TANTOMENO ESSERE UTILIZZATA COME BASE PER LE DECISIONI.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054