リビジョン履歴
- 1.0: 2022 年 4 月 1 日: 初回バージョン
- 2.0: 2022 年 4 月 8 日: 脆弱性の影響を受けない製品として Access BYOS と InfoScale VEA を追加
- 3.0: 2022 年 4 月 22 日: 推奨する修復策と共に複数のアプライアンス製品に関する情報を追加
概要
複数のベリタスアプライアンス製品において、JDK 9 以上でのデータバインディングを介した Spring Framework のリモートコード実行の脆弱性 (CVE-2022-22965) が確認されました。影響を受けるベリタス製品は次のとおりです。
| 製品 | 脆弱なバージョン | 修正済みのバージョン | CVE ID | 修復策 |
|---|---|---|---|---|
|
Access アプライアンス |
7.4.3/7.4.3.100/7.4.3.200 |
7.4.3.300 |
||
|
Flex アプライアンス |
1.3.x、2.0、2.0.1、2.0.2、2.1 |
ホットフィックス適用済みの 2.0.2 |
||
|
NetBackup アプライアンス/ |
4.0/4.0.0.1 MR1/4.0.0.1 MR2 |
ホットフィックス適用済みの 4.0.0.1 MR3 |
||
|
NetBackup Flex Scale アプライアンス |
2.1、3.0 |
2.1 ホットフィックス |
問題
上記のベリタス製品には、JDK 9 以上で実行する Spring Framework アプリケーションが含まれており、データバインディングを介したリモートコード実行 (RCE) の脆弱性の影響を受ける可能性があります。
重大度: 重大
CVSS v3.1 基本スコア 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Spring Framework の脆弱性は、OS コマンドで使用される特殊要素の不適切な中立化が原因です。これにより、攻撃者が任意の悪質なクラスをロードして、サーバー上で悪質なコードを実行できてしまう恐れがあります。
修復策
現在メンテナンス/サポート契約をお持ちのお客様は、上の表に記載されている修正済みのバージョンのいずれかに更新してください。
影響を受けないベリタス製品
以下のベリタス製品には Spring Framework が含まれていますが、現在入手できる情報に基づく限りは、この脆弱性によって悪用される恐れはないと思われます。本件について変更がある場合は、このページを更新いたします。
| 製品 | 脆弱性の影響 | コメント |
|---|---|---|
|
Access アプライアンス 7.4.2.x |
いいえ |
JDK 9 以上のバージョンを使用していません |
|
CloudPoint |
いいえ |
JDK 9 以上のバージョンを使用していません |
|
Data Insight |
いいえ |
JDK 9 以上のバージョンを使用していません |
|
eDiscovery |
いいえ |
JDK 9 以上のバージョンを使用していません |
|
NetBackup |
いいえ |
JDK 9 以上のバージョンを使用していません |
|
NetBackup アプライアンス 3.x |
いいえ |
JDK 9 以上のバージョンを使用していません |
|
NetBackup アプライアンス 5.x |
いいえ |
Spring Framework 5.3.18 を使用しています |
|
NetBackup 仮想アプライアンス 3.x |
いいえ |
JDK 9 以上のバージョンを使用していません |
|
NetBackup 仮想アプライアンス 5.x |
いいえ |
Spring Framework 5.3.18 を使用しています |
|
NetBackup IT Analytics (旧 APTARE) |
いいえ |
WAR ファイルで Spring Framework を配布していません |
|
NetBackup OpsCenter |
いいえ |
JDK 9 以上のバージョンを使用していません |
|
Veritas InfoScale Operations Manager (VIOM) |
いいえ |
JDK 9 以上のバージョンを使用していません |
|
Veritas Resiliency Platform (VRP) |
いいえ |
JDK 9 以上のバージョンを使用していません |
以下のベリタス製品には Spring Framework が含まれていないため、脆弱性の影響を受けません。
- Access BYOS
- Appliance Management Server (AMS)
- Backup Exec
- Desktop and Laptop Option
- Enterprise Vault
- Enterprise Vault.cloud
- InfoScale コアスタック (VCS/VM/FS)
- InfoScale Veritas Enterprise Administrator (VEA)
- NetBackup Recovery Vault
- NetBackup SaaS Protection
- Merge1
- Quick Assist
- Veritas Advanced Supervision
- Veritas System Recovery (VSR)
お問い合わせ
この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。
免責
本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054