Bisherige Aktualisierungen
- 1.0: 28. Februar 2022: Erste Version
Zusammenfassung
Im Rahmen einer vertraulich gemeldeten Sicherheitslücke hat Veritas die unten beschriebenen Sicherheitslücken in Veritas InfoScale Operations Manager (VIOM) ermittelt.
| Problem | Beschreibung | Schweregrad | Korrigierte Versionen |
|---|---|---|---|
|
1 |
Unzureichende Neutralisierung von Eingaben bei der Generierung von Webseiten ('reflektiertes Cross-Site-Scripting') |
Mittel |
7.4.2, 8.0 |
|
2 |
Absolute Path Traversal |
Mittel |
7.4.2, 8.0 |
Problem Nr. 1
Eine reflektierte Cross-Site-Scripting (XSS)-Schwachstelle ermöglicht böswilligen VRP-Benutzern, bösartiges Skript in den Browser eines anderen Benutzers einzufügen, das in Zusammenhang mit der Funktionalität für Ausfallsicherheitspläne steht. (CWE-79)
- CVE-ID: CVE-2022-26483
- Schweregrad: Mittel
- CVSS v3.1 Base Score 4.8 (AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N)
Zusammenfassung
Eine reflektierte Cross-Site-Scripting-Schwachstelle (XSS) der Anwendung Veritas Operations Manager ermöglicht authentifizierten Remote-Angreifern, beliebigen Web-Skript- oder HTML-Code in HTTP/GET-Parameter einzufügen, was Benutzereingaben ungeprüft anzeigt.
Die über GET-Methoden gesendeten Parameter in der Server-Reaktion werden von der Webanwendung Veritas Operations Manager nicht ausreichend überprüft.
Voraussetzungen
Zugriff auf die Webanwendung als Benutzer mit administrativer oder Root-Rolle.
Betroffene Endgeräte
Sicherheitsauswirkungen
Durch die Sicherheitslücke sind Phishing-Angriffe auf Benutzer der Webanwendung Veritas Operations Manager möglich.
Betroffene Versionen
Veritas InfoScale Operations Manager (VIOM) Management Server und verwaltete Hosts/Agents 8.0, 7.4.2, 7.4, 7.3.1, 7.3, 7.2, 7.1, 7.0. Nicht unterstützte ältere Versionen können ebenfalls betroffen sein.
Problem Nr. 2
Eine absolute Path-Traversal-Sicherheitslücke ermöglicht Benutzern den unautorisierten Zugriff auf Server-Ressourcen (CWE-36).
- CVE-ID: CVE-2022-26484
- Schweregrad: Mittel
- CVSS v3.1 Base Score: 4.9 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)
Zusammenfassung
Der Webserver bereinigt die Eingabedaten nicht ordnungsgemäß und ermöglicht es authentifizierten Remote-Angreifern so, beliebige Dateien im System zu lesen. Die Manipulation des Ressourcennamens in den GET-Anfragen, die sich auf Dateien mit absoluten Pfaden beziehen, ermöglicht den Zugriff auf beliebige Dateien im Dateisystem, einschließlich Anwendungsquellcode, Konfigurationsdateien und kritische Systemdateien.
Voraussetzungen
Zugriff auf die Webanwendung als Benutzer mit administrativer oder Root-Rolle.
Betroffene Endgeräte
Sicherheitsauswirkungen
Durch die Sicherheitslücke des Webservers konnte jede beliebige Datei im Dateisystem gelesen werden, da die Webanwendung mit Root-Berechtigungen ausgeführt wird.
Betroffene Versionen
Veritas InfoScale Operations Manager (VIOM) Management Server und verwaltete Hosts/Agents 8.0, 7.4.2, 7.4, 7.3.1, 7.3, 7.2, 7.1, 7.0. Nicht unterstützte ältere Versionen können ebenfalls betroffen sein.
Behebung
Kunden mit laufendem Wartungsvertrag sollten auf eine der folgenden Versionen aktualisieren und die Binärdateien der Anwendung installieren, die diese Sicherheitslücke schließen:
- 7.4.2 (Siehe technischer Hinweis: Veritas InfoScale Operations Manager 7.4.2 Patch 600)
- 8.0 (Siehe technischer Hinweis: Veritas InfoScale Operations Manager 8.0.0 Patch 100)
Verfügbare Aktualisierungen finden Sie im Veritas Download Center: https://www.veritas.com/support/de_DE/downloads
Fragen
Bei Fragen oder Problemen im Zusammenhang mit diesen Schwachstellen wenden Sie sich an den Veritas-Techniksupport (https://www.veritas.com/support/de_DE).
Danksagung
Veritas bedankt sich bei Luca Carbone, Antonio Papa, Vincenzo Nigro und Massimiliano Brolli vom TIM Security Red Team Research für die Benachrichtigung über diese Sicherheitslücken.
Haftungsausschluss
DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA