VTS22-019

Hotfix per l'avviso di sicurezza relativo a NetBackup Flex Scale e Access Appliance interessati

Cronologia delle revisioni

  • 1.0: 30 novembre 2022 – Rilascio pubblico iniziale
  • 1.1: 8 decembre 2022 – aggiunto l'ID CVE

Riepilogo

Veritas ha risolto delle vulnerabilità che interessavano NetBackup Flex Scale e Access Appliance

Problemi

Problema n. 1- Esecuzione non autenticata di comandi remoti

Access Appliance e NetBackup Flex Scale sono vulnerabili a un'esecuzione non autenticata di comandi remoti.

  • ID CVE: CVE-2022-46414
  • Gravità: critica
  • Punteggio base CVSS v3.1: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
  • Prodotti interessati e relative versioni:
    • NetBackup Flex Scale 3.0 e precedenti
    • Access Appliance 8.0.100 e precedenti
  • Azioni consigliate:
    • NetBackup Flex Scale: eseguire l'upgrade alla versione 3.0 e applicare l'hotfix
    • Access Appliance: eseguire l'upgrade alla versione 7.4.3.300 o 8.0.100 e applicare l'hotfix corrispondente.

Problema n. 2- Esecuzione autenticata di comandi remoti

Access Appliance e NetBackup Flex Scale sono vulnerabili a un'esecuzione autenticata di comandi remoti.

  • ID CVE: CVE-2022-46413
  • Gravità: alta
  • Punteggio base CVSS v3.1: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Prodotti interessati e relative versioni:
    • NetBackup Flex Scale 3.0 e precedenti
    • Access Appliance 8.0.100 e precedenti
  • Azioni consigliate:
    • NetBackup Flex Scale: eseguire l'upgrade alla versione 3.0 e applicare l'hotfix
    • Access Appliance: eseguire l'upgrade alla versione 7.4.3.300 o 8.0.100 e applicare l'hotfix corrispondente.

Problema n. 3 – Credenziali predefinite persistenti per l'utente primario

Una password predefinita persiste dopo l'installazione e può essere individuata e sfruttata per l'escalation di privilegi.

  • ID CVE: CVE-2022-46411
  • Gravità: alta
  • Punteggio base CVSS v3.1: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Prodotti interessati e relative versioni:
    • NetBackup Flex Scale 3.0 e precedenti
    • Access Appliance 8.0.100 e precedenti
  • Azioni consigliate:
    • NetBackup Flex Scale: eseguire l'upgrade alla versione 3.0 e applicare l'hotfix
    • Access Appliance: eseguire l'upgrade alla versione 7.4.3.300 o 8.0.100 e applicare l'hotfix corrispondente.

Problema n.4 - Una shell limitata consente l'indirizzamento alla shell normale

Un utente senza privilegi può passare a una shell limitata ed eseguire comandi con privilegi.

  • ID CVE: CVE-2022-46412
  • Gravità: alta
  • Punteggio base CVSS v3.1: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Prodotti interessati e relative versioni:
    • NetBackup Flex Scale 3.0 e precedenti
  • Azioni consigliate:
    • NetBackup Flex Scale: eseguire l'upgrade alla versione 3.0 e applicare l'hotfix

Problema n. 5- Escalation dei privilegi shell

Un criminale senza privilegi radice può eseguire l'escalation dei privilegi per usare comandi specifici come utente radice.

  • ID CVE: CVE-2022-46410
  • Gravità: alta
  • Punteggio base CVSS v3.1: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Prodotti interessati e relative versioni:
    • NetBackup Flex Scale 3.0 e precedenti
  • Azioni consigliate:
    • NetBackup Flex Scale: eseguire l'upgrade alla versione 3.0 e applicare l'hotfix

Note

Per scaricare l'hotfix appropriato per NetBackup Flex Scale o Access Appliance, consultare la pagina dei download del supporto Veritas.

Domande

Per domande o problemi relativi a questa vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT)

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE IN QUESTA DOCUMENTAZIONE SONO SOGGETTE A MODIFICA SENZA PREAVVISO. QUALSIASI INDICAZIONE DI PIANI PER I PRODOTTI È DA CONSIDERARSI PRELIMINARE E TUTTE LE DATE DI RILASCIO FUTURE SONO PROVVISORIE E SOGGETTE A MODIFICA. QUALSIASI VERSIONE FUTURA DEL PRODOTTO O MODIFICA PIANIFICATA ALLE CAPACITÀ, FUNZIONALITÀ O CARATTERISTICHE DEL PRODOTTO È SOGGETTA ALLA COSTANTE VALUTAZIONE DA PARTE DI VERITAS, PUÒ NON ESSERE IMPLEMENTATA E NON DEVE ESSERE CONSIDERATA COME IMPEGNO DEFINITIVO DA PARTE DI VERITAS NÉ TANTOMENO ESSERE UTILIZZATA COME BASE PER LE DECISIONI.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054