リビジョン履歴

• 1.0: 2023 年 7 月 12 日: 初回バージョン
• 1.1: 2023 年 7 月 14 日: 推奨修復策を更新
• 1.2: 2023 年 7 月 20 日: CVE ID を追加

概要

Veritas InfoScale Operations Manager (VIOM) の XPRTLD Web アプリケーションにおいて脆弱性が発見されました。

問題

VIOM の XPRTLD Web アプリケーションでは、認証済みの攻撃者があらゆる種類のファイルをサーバーにアップロードできてしまいます。これにより、認証済みの攻撃者が悪質なファイルを実行して、リモートサーバー上でコマンドを実行することが可能です。

• CVE ID: CVE-2023-38404
• 重大度: 高
• CVSS v3.1 基本スコア 7.2: (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
• CWE-434: 危険な種類のファイルの無制限アップロードに関する脆弱性

前提条件

攻撃者は、VIOM の XPRTLD Web アプリケーションに対する管理者アクセス権を持っている必要があります。

影響を受けるバージョン

Veritas InfoScale Operations Manager (VIOM) バージョン 7.0、7.1、7.2、7.3、7.3.1、7.4、7.4.2、8.0。それ以前のすでにサポート対象外のバージョンも影響を受ける可能性があります。

修復策

現在メンテナンス契約をお持ちのお客様は、以下で推奨するように VIOM 環境をアップグレードしてください。

• Veritas InfoScale Operations Manager (VIOM) Management Server を最小バージョンの 8.0.0.410 または 8.0.2 にアップグレードしてください。
• サポートマトリックスに応じて、VIOM エージェントを最小バージョンの 7.4.2.810、8.0.0.410、または 8.0.2.0 にアップグレードしてください。

利用可能な更新については、ベリタスダウンロードセンター (https://www.veritas.com/support/ja_JP/downloads) を参照してください。

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054