VTS22-011

NetBackup Server に影響するセキュリティアドバイザリのホットフィックス

リビジョン履歴

  • 1.0: 2022 年 9 月下旬 - 初回公開

概要

ベリタスは、NetBackup プライマリサーバーに影響を与える脆弱性に対応しました。

問題

問題 1: SQL インジェクションの脆弱性

NetBackup プライマリサーバーは、NBFSMCLIENT サービスに影響を与える SQL インジェクション攻撃に対して脆弱です。

  • CVE ID: CVE-2022-42302
  • 重大度: 重大
  • CVSS v3.1 基本スコア: 9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
  • 影響を受けるコンポーネント: プライマリサーバー
  • 影響を受けるバージョン: 10.0 およびそれ以前
  • 対処方法:
    • NetBackup プライマリサーバーおよびメディアサーバー: NetBackup 8.2、8.3.0.1、8.3.0.2、9.0.0.1、9.1.0.1、または 10.0 にアップグレードして適切なホットフィックスを適用するか、または 10.0.0.1 にアップグレードしてください。
    • NetBackup Client: 脆弱性の影響を受けません。対処は必要ありません。
    • NetBackup アプライアンス: 3.2、3.3.0.1、3.3.0.2、4.0.0.1、4.1.0.1、または 5.0 にアップグレードして適切なホットフィックスを適用するか、または 5.0.0.1 MR1 にアップグレードしてください。
    • Flex アプライアンス: Flex アプライアンス上の NetBackup コンテナのバージョンに対応する NetBackup のホットフィックスを適用してください。
    • Flex Scale: ベリタステクニカルサポート に連絡し、ナレッジベースの記事 ID 100053006 を参照して修正を入手してください。

問題 2: SQL インジェクションの脆弱性

NetBackup プライマリサーバーは、本アドバイザリの問題 1 を利用することで NBFSMCLIENT サービスに影響を与える、2 順目の SQL インジェクション攻撃に対して脆弱です。

  • CVE ID: CVE-2022-42303
  • 重大度: 高
  • CVSS v3.1 基本スコア: 8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • 影響を受けるコンポーネント: プライマリサーバー
  • 影響を受けるバージョン: 10.0 およびそれ以前
  • 対処方法:
    • NetBackup プライマリサーバーおよびメディアサーバー: NetBackup 8.2、8.3.0.1、8.3.0.2、9.0.0.1、9.1.0.1、または 10.0 にアップグレードして適切なホットフィックスを適用するか、または 10.0.0.1 にアップグレードしてください。
    • NetBackup Client: 脆弱性の影響を受けません。対処は必要ありません。
    • NetBackup アプライアンス: 3.2、3.3.0.1、3.3.0.2、4.0.0.1、4.1.0.1、または 5.0 にアップグレードして適切なホットフィックスを適用するか、または 5.0.0.1 MR1 にアップグレードしてください。
    • Flex アプライアンス: Flex アプライアンス上の NetBackup コンテナのバージョンに対応する NetBackup のホットフィックスを適用してください。
    • Flex Scale: ベリタステクニカルサポート に連絡し、ナレッジベースの記事 ID 100053006 を参照して修正を入手してください。

問題 3: SQL インジェクションの脆弱性

NetBackup プライマリサーバーは、 idm、nbars、および SLP マネージャコードに影響を与える SQL インジェクション攻撃に対して脆弱です。

  • CVE ID: CVE-2022-42304
  • 重大度: 高
  • CVSS v3.1 基本スコア: 8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • 影響を受けるコンポーネント: プライマリサーバー
  • 影響を受けるバージョン: 10.0 およびそれ以前
  • 対処方法:
    • NetBackup プライマリサーバーおよびメディアサーバー: NetBackup 8.2、8.3.0.1、8.3.0.2、9.0.0.1、9.1.0.1、または 10.0 にアップグレードして適切なホットフィックスを適用するか、または 10.0.0.1 にアップグレードしてください。
    • NetBackup Client: 脆弱性の影響を受けません。対処は必要ありません。
    • NetBackup アプライアンス: 3.2、3.3.0.1、3.3.0.2、4.0.0.1、4.1.0.1、または 5.0 にアップグレードして適切なホットフィックスを適用するか、または 5.0.0.1 MR1 にアップグレードしてください。
    • Flex アプライアンス: Flex アプライアンス上の NetBackup コンテナのバージョンに対応する NetBackup のホットフィックスを適用してください。
    • Flex Scale: ベリタステクニカルサポート に連絡し、ナレッジベースの記事 ID 100053006 を参照して修正を入手してください。

注意

本セキュリティアドバイザリ VTS22-011 は、以前に公開された VTS22-004 で特定されている問題にも対応しています。まだ VTS22-004 を適用していない場合、それを最初に適用する必要はありません。すでに VTS22-004 を適用済みの場合は、その状態から VTS22-011 を安全に適用することができます。

お問い合わせ

本アドバイザリに関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。

謝辞

これらの問題を弊社にご報告いただいた Airbus Security Team の皆様 (Mouad Abouhali、Benoît Camredon、Nicholas Devillers、Anaïs Gantet、および Jean-Romain Garnier の各氏) に感謝いたします。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054