リビジョン履歴

• 1.0: 2023 年 5 月 2 日: 初回バージョン
• 1.1: 2023 年 5 月 19 日: CVE ID を追加
• 1.2: 2023 年 6 月 17 日: 問題 2 SQL インジェクションの脆弱性の説明を更新

概要

ベリタスは、下記のように、Veritas InfoScale Operations Manager (VIOM) にセキュリティ脆弱性を発見しました。

問題 1: 任意のコマンド実行の脆弱性

VIOM Web アプリケーションは、ユーザーが入力したデータを検証しないまま、アプリケーションによって使用される OS コマンドや内部バイナリに付加します。root/管理者レベルの権限を持つ攻撃者が、この脆弱性を悪用して、サーバー上に保存されている機密データを読み取ったり、データやサーバー構成を改変したり、データやアプリケーション構成を削除したりできる恐れがあります。

• CVE ID: CVE-2023-32568
• 重大度: 高
• CVSS v3.1 基本スコア: 7.2 ( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
• CWE-78: OS コマンドで使用される特殊要素の不適切な中立化 (OS コマンドインジェクション)

問題 2: SQL インジェクションの脆弱性

InfoScale VIOM Web アプリケーションは、アプリケーションの一部の領域において SQL インジェクションに対して脆弱です。これにより、攻撃者がバックエンドデータベース上で任意の SQL コマンドを送信して、データベースに保存されている機密データの作成、読み取り、更新、削除を実行できてしまう恐れがあります。脆弱性を悪用するには、有効な管理者クレデンシャルを使ってアプリケーションにアクセスする必要があります。

• CVE ID: CVE-2023-32569
• 重大度: 高
• CVSS v3.1 基本スコア: 7.2 ( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
• CWE-89: SQL コマンドで使用される特殊要素の不適切な中立化 (SQL インジェクション)

影響を受けるバージョン

Veritas InfoScale Operations Manager (VIOM) バージョン 7.0、7.1、7.2、7.3、7.3.1、7.4、7.4.2、8.0。それ以前のすでにサポート対象外のバージョンも影響を受ける可能性があります。

修復策

現在メンテナンス契約をお持ちのお客様は、Veritas InfoScale Operations Manager (VIOM) のバージョンに応じて、利用可能なパッチを適用してください。

• 7.4.2 GA をインストールまたは 7.4.2 GA にアップグレードし、7.4.2.800 更新を適用してください。
• 8.0 GA をインストールまたは 8.0 GA にアップグレードし、8.0.410 更新を適用してください。

利用可能な更新については、ベリタスダウンロードセンター https://www.veritas.com/support/ja_JP/downloads を参照してください。

お問い合わせ

For questions or problems regarding these vulnerabilities please contact Veritas Technical Support (https://www.veritas.com/support/ja_JP) にお問い合わせください。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054