Security Advisory di Veritas InfoScale Operations Manager (VIOM) relativo all'esecuzione dei comandi tramite il caricamento di file non protetti

VTS23-009

Security Advisory di Veritas InfoScale Operations Manager (VIOM) relativo all'esecuzione dei comandi tramite il caricamento di file non protetti

Cronologia delle revisioni

1.0: 12 luglio 2023: versione iniziale
1.1: 14 luglio 2023: aggiornamento della procedura di riparazione consigliata
1.2: 20 luglio 2023: aggiunto l'ID CVE

Riepilogo

È stata rilevata una vulnerabilità nell'applicazione Web Veritas InfoScale Operations Manager (VIOM) XPRTLD.

Problema

L'applicazione Web VIOM XPRTLD consente a un aggressore autenticato di caricare qualsiasi tipo di file sul server. Quindi, un aggressore autenticato è in grado di far eseguire al file pericoloso un comando sul server remoto.

ID CVE: CVE-2023-38404
Gravità: alta
Punteggio base CVSS v3.1: 7.2: (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
CWE-434: caricamento senza restrizioni di file pericolosi

Prerequisiti

Un aggressore deve accedere come amministratore all'applicazione Web VIOM XPRTLD.

Versioni interessate

Veritas InfoScale Operations Manager (VIOM) versioni 7.0, 7.1, 7.2, 7.3, 7.3.1, 7.4, 7.4.2, 8.0. Potrebbero essere interessate anche versioni precedenti non supportate.

Riparazione

I clienti con un contratto di Maintenance attuale possono eseguire l'upgrade del loro ambiente di Veritas InfoScale Operations Manager come consigliato di seguito:

Eseguire l'upgrade del server di gestione Veritas InfoScale Operations Manager almeno alle versioni 8.0.0.410 o 8.0.2.
Eseguire l'upgrade degli agenti VIOM almeno alle versioni 7.4.2.810, 8.0.0.410 o 8.0.2.0, a seconda della matrice di supportabilità.

Cercare nel Veritas Download Center gli aggiornamenti disponibili: https://www.veritas.com/support/it_IT/downloads

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il Supporto Tecnico Veritas (https://www.veritas.com/support/it_IT).

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054