修订历史记录

  • 1.0:2022 年 4 月 1 日:初始版本
  • 2.0:2022 年 4 月 8 日:添加了不易受攻击的 Access BYOS 和 InfoScale VEA
  • 3.0:2022 年 4 月 22 日:添加了多款一体机产品以及补救建议

摘要

已在多款 Veritas 一体机产品中发现了利用 JDK 9+ 上的数据绑定的 Spring Framework 远程代码执行漏洞 (CVE-2022-22965)。以下 Veritas 产品受到了影响:

产品 易受攻击的版本 已修复版本 CVE ID 补救措施

Access Appliance

7.4.3/7.4.3.100/7.4.3.200

7.4.3.300

CVE-2022-22965

文章 100052919

Flex Appliance

1.3.x、2.0, 2.0.1、2.0.2, 2.1

2.0.2(含热修补程序)
2.1(含热修补程序)

CVE-2022-22965

文章 100052862

NetBackup Appliance/
NetBackup Virtual Appliance

4.0/4.0.0.1 MR1/4.0.0.1 MR2
4.0.0.1 MR3
4.1/4.1.0.1 MR1
4.1.0.1 MR2

4.0.0.1 MR3(含热修补程序)
4.1.0.1 MR2(含热修补程序)
5.0

CVE-2022-22965

文章 100052910

NetBackup Flex Scale Appliance

2.1、3.0

2.1 热修补程序
3.0 热修补程序

CVE-2022-22965

文章 100052911

问题

上述 Veritas 产品包含运行 Java JDK 9 的 Spring Framework 应用程序,可能容易通过数据绑定受到远程代码执行 (RCE) 攻击。

严重性:严重
CVSS v3.1 基础评分 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Spring Framework 漏洞是由对操作系统命令中使用的特殊元素转义处理不当 (CWE-78) 导致的,该漏洞可让攻击者加载任意恶意类,进而可能导致在服务器上执行恶意代码。

补救措施

签订了最新维护/支持合同的客户应更新到上述表格中明确的其中某个已修复版本。

未受影响的 Veritas 产品

以下 Veritas 产品包含 Spring Framework,但根据目前掌握的信息,这些产品似乎不会因为此漏洞而容易遭受攻击。如果这方面有任何变化,Veritas 将及时发布最新信息。

产品 易受攻击 备注

Access Appliance 7.4.2.x

请勿使用 JDK 9 及以上版本

CloudPoint

请勿使用 JDK 9 及以上版本

Data Insight

请勿使用 JDK 9 及以上版本

eDiscovery

请勿使用 JDK 9 及以上版本

NetBackup

请勿使用 JDK 9 及以上版本

NetBackup Appliance 3.x

请勿使用 JDK 9 及以上版本

NetBackup Appliance 5.x

使用 Spring Framework 5.3.18

NetBackup Virtual Appliance 3.x

请勿使用 JDK 9 及以上版本

NetBackup Virtual Appliance 5.x

使用 Spring Framework 5.3.18

NetBackup IT Analytics(之前称为 APTARE)

请勿使用 WAR 文件分发 Spring

NetBackup OpsCenter

请勿使用 JDK 9 及以上版本

Veritas InfoScale Operations Manager (VIOM)

请勿使用 JDK 9 及以上版本

Veritas Resiliency Platform (VRP)

请勿使用 JDK 9 及以上版本

以下 Veritas 产品不包含 Spring Framework,不会受到此漏洞影响:

  • Access BYOS
  • Appliance Management Server (AMS)
  • Backup Exec
  • Desktop and Laptop Option
  • Enterprise Vault
  • Enterprise Vault.cloud
  • InfoScale core stack (VCS/VM/FS)
  • InfoScale Veritas Enterprise Administrator (VEA)
  • NetBackup Recovery Vault
  • NetBackup SaaS Protection
  • Merge1
  • Quick Assist
  • Veritas Advanced Supervision
  • Veritas System Recovery (VSR)

疑问

如有关于这些漏洞的疑问或问题,请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)。

免责声明

本安全公告按“原样”提供,对于所有明示或暗示的条款、陈述和保证,包括任何适销性、针对特定用途的适用性或未侵权的暗示保证,均不提供任何担保,除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改,恕不另行通知。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054