VTS22-013

NetBackup Server に影響するセキュリティアドバイザリのホットフィックス

リビジョン履歴

  • 1.0: 2022 年 9 月下旬 - 初回公開

概要

ベリタスは、NetBackup プライマリサーバーおよびメディアサーバーに影響を与える脆弱性に対応しました。

問題

問題 1: XML 外部実体参照インジェクションの脆弱性

NetBackup プライマリサーバーは、nbars プロセスを介した XML 外部実体参照 (XXE) インジェクション攻撃に対して脆弱です。

  • CVE ID: CVE-2022-42301
  • 重大度: 中
  • CVSS v3.1 基本スコア: 5.4 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L)
  • 影響を受けるコンポーネント: プライマリサーバーおよびメディアサーバー
  • 影響を受けるバージョン: 10.0.0.1 およびそれ以前
  • 対処方法:
    • NetBackup プライマリサーバーおよびメディアサーバー: 8.3.0.2、9.0.0.1、9.1.0.1、または 10.0.0.1 にアップグレードし、適切なホットフィックスを適用してください。
    • NetBackup Client: 脆弱性の影響を受けません。対処は必要ありません。
    • NetBackup アプライアンス: 3.3.0.2、4.0.0.1、4.1.0.1、または 5.0.0.1 MR1 のいずれかのメンテナンスリリース (MR) にアップグレードし、適切なホットフィックスを適用してください。
    • Flex アプライアンス: Flex アプライアンス上の NetBackup コンテナのバージョンに対応する NetBackup のホットフィックスを適用してください。
    • Flex Scale: ベリタステクニカルサポート に連絡し、ナレッジベースの記事 ID 100053006 を参照して修正を入手してください。

問題 2: サービス拒否 (DoS) の脆弱性

NetBackup プライマリサーバーの nbars プロセスは、サービス拒否 (DoS) 攻撃によってクラッシュされる恐れがあります。(注: watchdog サービスは自動的にプロセスを再開します。)

  • CVE ID: CVE-2022-42300
  • 重大度: 中
  • CVSS v3.1 基本スコア: 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
  • 影響を受けるコンポーネント: プライマリサーバーおよびメディアサーバー
  • 影響を受けるバージョン: 10.0.0.1 およびそれ以前
  • 対処方法:
    • NetBackup プライマリサーバーおよびメディアサーバー: 8.3.0.2、9.0.0.1、9.1.0.1、または 10.0.0.1 にアップグレードし、適切なホットフィックスを適用してください。
    • NetBackup Client: 脆弱性の影響を受けません。対処は必要ありません。
    • NetBackup アプライアンス: 3.3.0.2、4.0.0.1、4.1.0.1、または 5.0.0.1 MR1 のいずれかのメンテナンスリリース (MR) にアップグレードし、適切なホットフィックスを適用してください。
    • Flex アプライアンス: Flex アプライアンス上の NetBackup コンテナのバージョンに対応する NetBackup のホットフィックスを適用してください。
    • Flex Scale: ベリタステクニカルサポート に連絡し、ナレッジベースの記事 ID 100053006 を参照して修正を入手してください。

注意

本セキュリティアドバイザリ VTS22-013 は、以前に公開された VTS22-004 および VTS22-011で特定されている問題にも対応しています。まだ VTS22-004 または VTS22-011を適用していない場合、それらを最初に適用する必要はありません。すでに VTS22-004 または VTS22-011 を適用済みの場合は、その状態から VTS22-013 を安全に適用することができます。

お問い合わせ

本アドバイザリに関してご質問や問題がありましたら、ベリタステクニカルサポート(https://www.veritas.com/support/ja_JP)にお問い合わせください。

謝辞

これらの問題を弊社にご報告いただいた Airbus Security Team の皆様 (Mouad Abouhali、Benoît Camredon、Nicholas Devillers、Anaïs Gantet、および Jean-Romain Garnier の各氏) に感謝いたします。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。製品の計画に関する将来的な記述は仮のものであり、将来のリリース日はすべて暫定であり、変更の対象になります。今後の製品のリリースや予定されている機能修正についてはベリタスが継続的な評価を行っており、実装されるかどうかは確定していません。したがって、購入の意思決定の理由にすべきではありません。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054