개정 내역

• 1.0: 2023년 7월 26일: 초기 버전
• 1.1: 2023년 7월 28일: 문제 설명 업데이트
• 1.2: 2023년 8월 25일: CVE ID 추가

요약

Veritas NetBackup Snapshot Manager에서 신뢰할 수 없는 클라이언트가 RabbitMQ 서비스와 상호작용할 수 있는 취약점이 발견되었습니다. 

문제

이 취약점은 RabbitMQ 서비스가 잘못 구성되어 클라이언트 인증서의 유효성을 제대로 검사하지 않아 발생했습니다. 이 취약점을 악용하면 백업 및 복원 작업을 제어하는 메시지의 기밀성과 무결성에 영향을 주며 서비스를 사용하지 못하게 될 수 있습니다. 이 취약점은 백업 및 복원 작업을 제어하는 작업에만 영향을 주며 백업 스냅샷 데이터 자체에 대한 액세스 또는 삭제를 허용하지는 않습니다. 이 취약점은 NetBackup Snapshot Manager 기능에만 국한되며 NetBackup 기본 서버의 RabbitMQ 인스턴스에는 영향을 주지 않습니다.

• CVE ID: CVE-2023-40256
• 심각도: 심각
• CVSS v3.1 기본 점수 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• CWE: 295 - 잘못된 인증서 유효성 검사

영향을 받는 버전

Veritas NetBackup Snapshot Manager 버전 8.3.0.1, 8.3.0.2, 9.0, 9.1, 9.1.0.1, 10.0, 10.0.0.1, 10.1, 10.1.1, 10.2. 이전 Veritas NetBackup CloudPoint 애플리케이션의 지원되지 않는 버전도 영향을 받을 수 있습니다.

조치

현재 유지 관리 계약이 적용되는 고객은 아래에 설명된 대로 NetBackup Snapshot Manager로 업데이트해야 합니다.

• 10.2.0.1로 업그레이드(강력 권장됨)
• 10.1.1 핫픽스 배포(10.1.1로 업그레이드하는 것이 필수 요건임)
• 10.0.0.1 핫픽스 배포(10.0.0.1로 업그레이드하는 것이 필수 요건임)

이용 가능한 업데이트는 베리타스 다운로드 센터(https://www.veritas.com/support/ko_KR/downloads)를 참조하십시오.

질문

이러한 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR)에 문의하시기 바랍니다.

감사의 말

베리타스는 이 문제에 대해 책임감 있게 보고해 주신 Palindrome Technologies 사에 감사드립니다.

면책 조항

이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다.  Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다.  이 문서의 정보는 예고 없이 변경될 수 있습니다.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054