リビジョン履歴

• 1.0: 2023 年 7 月 26 日: 初回バージョン
• 1.1: 2023 年 7 月 28 日: 問題の説明を更新
• 1.2: 2023 年 8 月 25 日: CVE ID を追加

概要

Veritas NetBackup Snapshot Manager において、信頼されていないクライアントが RabbitMQ サービスと通信できてしまう脆弱性が発見されました。

問題

この脆弱性は、RabbitMQ サービスの構成に誤りがあることによるクライアント証明書の不適切な検証が原因で発生していました。この脆弱性が悪用されると、バックアップとリストアジョブを制御するメッセージの機密性と整合性が影響を受けることにより、サービスが利用できなくなる可能性があります。この脆弱性は、バックアップとリストアのアクティビティを制御するジョブにのみ影響します。バックアップスナップショットデータ自体へのアクセスや削除を可能にすることはありません。また、NetBackup Snapshot Manager 機能に限定されるものであり、NetBackup プライマリサーバー上の RabbitMQ インスタンスには影響を与えません。

• CVE ID: CVE-2023-40256
• 重大度: 重大
• CVSS v3.1 基本スコア: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• CWE: 295 - 不適切な証明書検証

影響を受けるバージョン

Veritas NetBackup Snapshot Manager バージョン 8.3.0.1、8.3.0.2、9.0、9.1、9.1.0.1、10.0、10.0.0.1、10.1、10.1.1、10.2。それ以前のすでにサポート対象外の Veritas NetBackup CloudPoint アプリケーションの各バージョンも影響を受ける可能性があります。

修復策

現在メンテナンス契約をお持ちのお客様は、下記のように、NetBackup Snapshot Manager を更新してください。

• 10.2.0.1 にアップグレードしてください (強く推奨)。
• 10.1.1 ホットフィックスを配備してください (10.1.1 へのアップグレードが前提条件)。
• 10.0.0.1 ホットフィックスを配備してください (10.0.0.1 へのアップグレードが前提条件)。

利用可能な更新については、ベリタスダウンロードセンター (https://www.veritas.com/support/ja_JP/downloads) を参照してください。

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。

謝辞

この問題を弊社にご報告いただいた Palindrome Technologies 社に感謝いたします。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054