개정 내역

•  1.0: 2023년 7월 12일: 초기 버전
• 1.1: 2023년 7월 14일: 조치 권장 사항 업데이트
• 1.2: 2023년 7월 20일: CVE ID 추가

요약

Veritas InfoScale Operations Manager(VIOM) XPRTLD 웹 애플리케이션에서 취약점이 발견되었습니다.

문제

VIOM XPRTLD 웹 애플리케이션이 인증된 공격자가 서버에 모든 파일 형식을 업로드하도록 허용합니다. 이후 인증된 공격자가 해당 악성 파일을 실행하여 원격 서버에 명령 실행을 수행할 수 있습니다.

• CVE ID: CVE-2023-38404
• 심각도: 높음
• CVSS v3.1 기본 점수 7.2: (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
• CWE-434: 위험한 형식의 파일 무제한 업로드

필수 요건

공격자에게 VIOM XPRTLD 웹 애플리케이션의 관리자 액세스 권한이 있어야 합니다.

영향을 받는 버전

Veritas InfoScale Operations Manager(VIOM) 7.0, 7.1, 7.2, 7.3, 7.3.1, 7.4, 7.4.2, 8.0 버전. 지원되지 않는 이전 버전도 영향을 받을 수 있습니다.

조치

현재 유지 보수 계약이 적용되는 고객은 아래 권장 사항에 맞게 VIOM 환경을 업그레이드해야 합니다.

• Veritas InfoScale Operations Manager(VIOM) Management Server를 최소 8.0.0.410 또는 8.0.2 버전으로 업그레이드하십시오.
• VIOM Agents를 지원 매트릭스에 따라 최소 7.4.2.810, 8.0.0.410 또는 8.0.2.0 버전으로 업그레이드하십시오.

이용 가능한 업데이트는 베리타스 다운로드 센터(https://www.veritas.com/support/ko_KR/downloads)를 참조하십시오.

질문

이러한 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR)에 문의하시기 바랍니다.

면책 조항

이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다.  Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다.  이 문서의 정보는 예고 없이 변경될 수 있습니다.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054