VTS23-007
Security Advisory di Veritas InfoScale Operations Manager (VIOM)
Cronologia delle revisioni
- 1.0: 2 maggio 2023: versione iniziale
- 1.1: 19 maggio 2023: aggiunto l'ID CVE
- 1.2: 17 giugno 2023: aggiornamento della descrizione del Problema 2: SQL Injection
Riepilogo
Veritas ha individuato vulnerabilità di sicurezza con Veritas InfoScale Operations Manager (VIOM), come descritto di seguito.
| Problema | Descrizione | Gravità | Versioni corrette |
|---|---|---|---|
| 1 | Esecuzione di un comando arbitrario | Alta | 7.4.2.800 8.0.410 |
| 2 | SQL injection | Alta | 7.4.2.800 8.0.410 |
Problema 1: Esecuzione di un comando arbitrario
L'applicazione Web di Veritas InfoScale Operations Manager (VIOM) non convalida i dati forniti dagli utenti e li aggiunge ai comandi e ai file binari interni del sistema operativo utilizzati dall'applicazione. Un aggressore con privilegi di livello radice/amministratore può utilizzare questa vulnerabilità per leggere i dati riservati archiviati sui server, modificare la configurazione di dati o server ed eliminare la configurazione di dati o applicazioni.
- ID CVE: CVE-2023-32568
- Gravità: alta
- Punteggio base CVSS v3.1: 7.2 ( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- CWE-78: neutralizzazione impropria di elementi speciali utilizzati in un comando del sistema operativo ("Inserimento di comandi di sistema operativo")
Problema 2: SQL injection
L'applicazione Web di InfoScale VIOM è vulnerabile a SQL injection in alcune aree. Ciò consente agli aggressori di inviare comandi SQL arbitrari sul database di back-end per creare, leggere, aggiornare ed eliminare tutti i dati riservati archiviati nel database. Per sfruttare la vulnerabilità è necessario accedere all'applicazione con credenziali amministratore valide.
- ID CVE: CVE-2023-32569
- Gravità: alta
- Punteggio base CVSS v3.1: 7.2 ( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- CWE-89: neutralizzazione impropria di elementi speciali utilizzati in un comando SQL ("SQL Injection")
Versioni interessate
Veritas InfoScale Operations Manager (VIOM) versioni 7.0, 7.1, 7.2, 7.3, 7.3.1, 7.4, 7.4.2, 8.0. Potrebbero essere interessate anche versioni precedenti non supportate.
Riparazione
Si consiglia ai clienti con un contratto di manutenzione attivo di applicare le patch disponibili per la loro versione di Veritas InfoScale Operations Manager (VIOM):
- Installare la versione 7.4.2 o eseguire l'upgrade in base alla disponibilità generale e applicare l'aggiornamento 7.4.2.800, oppure
- Installare la versione 8.0 o eseguire l'upgrade in base alla disponibilità generale e applicare l'aggiornamento 8.0.410.
Cercare in Veritas Download Center gli aggiornamenti disponibili: https://www.veritas.com/support/it_IT/downloads
Domande
Per domande o problemi relativi a queste vulnerabilità, contattare il Supporto Tecnico Veritas (https://www.veritas.com/support/it_IT)
Dichiarazione di non responsabilità
IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054