VTS22-010

NetBackup Client/Server に影響するセキュリティアドバイザリのホットフィックス

リビジョン履歴

  • 1.0: 2022 年 9 月下旬 - 初回公開
  • 1.1: 2023 年 3 月 - 問題 3 を追加

概要

ベリタスは、NetBackup Server および Client に影響を与える脆弱性に対応しました。

問題

問題 1: 任意のファイル削除の脆弱性

ローカルアクセス権を持つ攻撃者が、pbx_exchange の登録コードでパストラバーサルを利用して、任意のファイルを削除できる恐れがあります。

  • CVE ID: CVE-2022-42308
  • 重大度: 重大
  • CVSS v3.1 基本スコア: 9.0 (AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H)
  • 影響を受けるバージョン: 8.2 およびそれ以前
  • 対処方法:
    • NetBackup Server: 8.2 にアップグレードして適切なホットフィックスを適用するか、または 8.3.x 以降にアップグレードしてください。
    • NetBackup Client: 8.2 または 8.1.2 にアップグレードして適切なホットフィックスを適用するか、または 8.3.x 以降にアップグレードしてください。
    • NetBackup アプライアンス: 3.2 にアップグレードして適切なホットフィックスを適用するか、または 3.3.x 以降にアップグレードしてください。
    • Flex アプライアンス: Flex アプライアンス上の NetBackup コンテナのバージョンに対応する NetBackup のホットフィックスを適用してください。
    • Flex Scale: 脆弱性の影響を受けません。

問題 2: サービス拒否 (DoS) の脆弱性

ローカルアクセス権を持つ攻撃者が、特別に細工されたパケットを登録中に pbx_exchange に送信して null ポインタ例外を発生させることで、pbx_exchange プロセスを効果的にクラッシュできる恐れがあります。

  • CVE ID: CVE-2022-42306
  • 重大度: 中
  • CVSS v3.1 基本スコア: 6.5 (AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H)
  • 影響を受けるバージョン: 8.2 およびそれ以前
  • 対処方法:
    • NetBackup Server: 8.2 にアップグレードして適切なホットフィックスを適用するか、または 8.3.x 以降にアップグレードしてください。
    • NetBackup Client: 8.2 または 8.1.2 にアップグレードして適切なホットフィックスを適用するか、または 8.3.x 以降にアップグレードしてください。
    • NetBackup アプライアンス: 3.2 にアップグレードして適切なホットフィックスを適用するか、または 3.3.x 以降にアップグレードしてください。
    • Flex アプライアンス: Flex アプライアンス上の NetBackup コンテナのバージョンに対応する NetBackup のホットフィックスを適用してください。
    • Flex Scale: 脆弱性の影響を受けません。

注意

本セキュリティアドバイザリ VTS22-010 は、以前に公開された VTS22-008で特定されている問題にも対応しています。まだ VTS22-008を適用していない場合、本アドバイザリの対処方法を実行する前に VTS22-008 を適用する必要はありません。すでに VTS22-008 を適用済みの場合は、その状態から VTS22-010 を安全に適用することができます。

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP)にお問い合わせください。

謝辞

問題 1 および 2 を弊社にご報告いただいた Airbus Security Team の皆様 (Mouad Abouhali、Benoît Camredon、Nicholas Devillers、Anaïs Gantet、および Jean-Romain Garnier の各氏) に感謝いたします。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054