VTS22-010

Hotfix für Sicherheitslücken, die NetBackup-Clients und -Server betreffen

Bisherige Aktualisierungen

  • 1.0: Ende September 2022 – Öffentliche Erstfassung
  • 1.1: März 2023 – Problem Nr. 3 hinzugefügt

Zusammenfassung

Veritas hat Sicherheitslücken geschlossen, die NetBackup-Server und -Clients betreffen.

Probleme

Problem 1: Willkürliches Löschen von Dateien

Ein Angreifer mit lokalem Zugriff kann über eine Path-Traversal-Sicherheitslücke im pbx_exchange-Registrierungscode willkürlich Dateien löschen.

  • CVE ID: CVE-2022-42308
  • Schweregrad: kritisch
  • CVSS v3.1 Base Score: 9.0 (AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H)
  • Betroffene Versionen: 8.2 und älter
  • Empfohlene Maßnahmen:
    • NetBackup-Server: Upgrade auf 8.2 und Anwendung des entsprechenden Hotfix ODER Upgrade auf 8.3.x und neuer.
    • NetBackup-Clients: Upgrade auf 8.2 oder 8.1.2 und Anwendung des entsprechenden Hotfix ODER Upgrade auf 8.3.x und neuer.
    • NetBackup Appliance: Upgrade auf 3.2 und Anwendung des entsprechenden Hotfix ODER Upgrade auf 3.3.x und neuer.
    • Flex Appliance: Wenden Sie bitte das NetBackup-Hotfix entsprechend der NetBackup-Container-Version auf Flex Appliances an.
    • Flex Scale: nicht betroffen.

Problem 2: Denial of Service

Ein Angreifer mit lokalem Zugriff kann während der Registrierung ein speziell erstelltes Paket an pbx_exchange senden und eine NullPointerException auslösen, die zu einem Absturz des pbx_exchange-Prozesses führt.

  • CVE ID: CVE-2022-42306
  • Schweregrad: mittel
  • CVSS v3.1 Base Score: 6.5 (AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H)
  • Betroffene Versionen: 8.2 und älter
  • Empfohlene Maßnahmen:
    • NetBackup-Server: Upgrade auf 8.2 und Anwendung des entsprechenden Hotfix ODER Upgrade auf 8.3.x und neuer.
    • NetBackup-Clients: Upgrade auf 8.2 oder 8.1.2 und Anwendung des entsprechenden Hotfix ODER Upgrade auf 8.3.x und neuer.
    • NetBackup Appliance: Upgrade auf 3.2 und Anwendung des entsprechenden Hotfix ODER Upgrade auf 3.3.x und neuer.
    • Flex Appliance: Wenden Sie bitte das NetBackup-Hotfix entsprechend der NetBackup-Container-Version auf Flex Appliances an.
    • Flex Scale: nicht betroffen.

Hinweise

Diese Sicherheitsempfehlung, VTS22-010, behebt zudem die in VTS22-008, identifizierten Probleme, die zuvor veröffentlicht wurden. Wenn Sie VTS22-008 noch nicht angewendet haben, ist es nicht notwendig, dies vor der Installation dieser Empfehlung anzuwenden. Wenn Sie VTS22-008 bereits angewendet haben, können Sie VTS22-010 einfach zusätzlich anwenden.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit dieser Sicherheitslücke wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE)

Danksagung

Veritas möchte sich bei den folgenden Airbus Security Team-Mitgliedern dafür bedanken, dass sie uns über die Probleme 1 und 2 informiert haben:
Mouad Abouhali, Benoî Camredon, Nicholas Devillers, Anaïs Gantet und Jean-Romain Garnier.

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054