VTS23-013
curl および libcurl の脆弱性に関する通知 (CVE-2023-38545 および CVE-2023-38546)
リビジョン履歴
- 1.0: 2023 年 10 月 11 日: 初回バージョン
- 1.1: 2023 年 10 月 20 日: 暫定更新
- 1.2: 2023 年 11 月 6 日: 暫定更新
- 1.3: 2023 年 11 月 28 日: 暫定更新
- 1.4: 2023 年 12 月 5 日: 暫定更新
- 1.5: 2023 年 12 月 18 日: 暫定更新
製品: 下記の状況を参照
概要
ベリタスは、最近公表された、curl および libcurl における深刻な脆弱性 (CVE-2023-38545) を認識しています。全ベリタス製品のセキュリティおよび開発チームでは、ベリタス製品に対する影響の評価を完了しています。
現時点における CVE-2023-38545 および CVE-2023-38546 に対する脆弱性の状況:
| ベリタス製品 | 状況 |
|---|---|
Access アプライアンス |
影響あり - 低リスク (Veritas Data Deduplication が構成されている場合、または NBU クライアントが構成されている場合のみ影響を受けます) * 以下の「NetBackup およびアプライアンス向けガイダンス」を参照してください。 |
Alta Archiving |
脆弱性の影響なし |
Alta Backup as a Service |
脆弱性の影響なし |
Alta Capture |
脆弱性の影響なし |
Alta Data Protection |
脆弱性の影響なし |
Alta eDiscovery |
脆弱性の影響なし |
Alta Recovery Vault |
脆弱性の影響なし |
Alta SaaS Protection |
脆弱性の影響なし |
Alta Surveillance |
脆弱性の影響なし |
Alta View |
脆弱性の影響なし |
Backup Exec |
脆弱性の影響なし |
Data Insight |
脆弱性の影響なし |
Desktop and Laptop Option |
影響あり。ダウンロードセンターからバージョン 9.8.3 をダウンロードして更新してください。 |
eDiscovery Platform |
脆弱性の影響なし |
Enterprise Vault |
調査中 |
InfoScale |
脆弱性の影響なし |
Merge1 |
脆弱性の影響なし |
NetBackup |
影響あり - 低リスク * 以下の「NetBackup およびアプライアンス向けガイダンス」を参照してください。 |
NetBackup アプライアンス |
影響あり - 低リスク * 以下の「NetBackup およびアプライアンス向けガイダンス」を参照してください。 |
NetBackup Flex アプライアンス |
影響あり - 低リスク * 以下の「NetBackup およびアプライアンス向けガイダンス」を参照してください。 |
NetBackup Flex Scale |
影響あり - 低リスク * 以下の「NetBackup およびアプライアンス向けガイダンス」を参照してください。 |
NetBackup IT Analytics |
脆弱性の影響なし |
NetBackup OpsCenter |
脆弱性の影響なし |
NetBackup Quick Assist |
脆弱性の影響なし |
NetBackup Resiliency Platform |
脆弱性の影響なし |
NetBackup Self Service |
脆弱性の影響なし |
NetBackup Snapshot Manager |
低リスク - ** 以下の「NetBackup Snapshot Manager に関する注意」を参照してください。 |
System Health Insights |
脆弱性の影響なし |
Veritas Advanced Supervision |
脆弱性の影響なし |
Veritas InfoScale Operations Manager (VIOM) |
脆弱性の影響なし |
Veritas System Recovery |
影響あり。ダウンロードセンターからバージョン 23.2 をダウンロードして更新してください。 |
* NetBackup およびアプライアンス向けガイダンス
Veritas NetBackup の CVE-2023-38545 に対するリスクは非常に低いと考えられます。お客様は、引き続き既存のバージョンの NetBackup をお使いいただけます。以下に記載の脆弱な条件に一致する可能性があることを懸念されるお客様には、NetBackup 10.1.1 またはそれ以降のバージョンにアップグレードし、この問題に対応する EEB をインストールすることをお勧めします。
NetBackup のデフォルト設定では、socks5h プロトコルを使用しません。
攻撃者がこの脆弱性を悪用するには、以下の操作を実行できる必要があります。
- NetBackup 構成 (UNIX 上の bp.conf) の SERVER エントリを制御する
- NetBackup サービスを実行しているアカウントの環境変数を制御する
両方の条件を変更できるのは、admin/root/service アカウントのみです。
それでもご懸念があり、更新を適用する場合は、以下の「対象方法」の手順に従ってください。
影響を受けるコンポーネント: プライマリサーバー、メディアサーバー、およびクライアント
影響を受けるバージョン: 8.3 およびそれ以降
対処方法:
NetBackup プライマリサーバーおよびメディアサーバー: 10.1.1、10.2.0.1、または 10.3 にアップグレードし、ダウンロードセンターから適切なホットフィックスをダウンロードして適用してください。
NetBackup クライアント: 10.1.1、10.2.0.1、または 10.3 にアップグレードし、ダウンロードセンターから適切なホットフィックスをダウンロードして適用してください。
NetBackup アプライアンス: 5.1.1 MR2 メンテナンスリリースにアップグレードし、ダウンロードセンターから適切なホットフィックスをダウンロードして適用してください。
Flex アプライアンス: NetBackup コンテナをアップグレードし、NetBackup コンテナのバージョンに対応する NetBackup のホットフィックスを適用してください。
Access アプライアンス: 8.1 または 8.1.100 (推奨) にアップグレードし、NetBackup 10.1.1 ダウンロードから適切なホットフィックスをダウンロードして適用してください。
Flex Scale: ベリタステクニカルサポートに連絡し、VTS23-013 に言及して修正を入手してください。
** NetBackup Snapshot Manager に関する注意
RedHat からのガイダンス - このセキュリティ上の欠陥は一連の条件を満たす必要があるため、攻撃者が脆弱性を悪用できる可能性は低いと考えられます。攻撃者がバグを引き起こすことができた場合でも、Cookie インジェクションが行われて被害を受けるリスクはやはり低いです。
お問い合わせ
この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。
免責
本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054