修订历史记录

• 1.0: 2023 年 3 月 20 日：初始版
• 1.1: 2023 年 3 月 30 日 : 增加了 CVE ID

摘要

Veritas NetBackup IT Analytics 应用程序升级流程包含未签名的文件，这些文件可能会被利用，导致客户安装不可信的组件。

问题

• CVE ID：CVE-2023-28818
• 严重性：中等
• CVSS v3.1 基础评分 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

恶意行为者可能会在 NetBackup IT Analytics 门户服务器上安装恶意收集器可执行文件（aptare.jar、upgrademanager.zip），然后这些文件可能会被下载并安装在收集器上。（CWE-347：加密签名的不当验证）

前提条件

恶意行为者必须有 NetBackup IT Analytics 门户服务器的管理员/根角色访问权限，才能安装不可信的组件。

受影响的版本

Veritas NetBackup IT Analytics 版本 11.1 和 11.0。APTARE IT Analytics 不受支持的更低版本也会受到影响。

补救措施

持有当前维护合同的客户应更新到 NetBackup IT Analytics 版本 11.2.0。

有关可用更新，请查看 Veritas 下载中心： https://www.veritas.com/support/zh_CN/downloads

疑问

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054