VTS22-011

Hotfix für Sicherheitslücken, die NetBackup-Server betreffen

Bisherige Aktualisierungen

  • 1.0: Ende September 2022 – Öffentliche Erstfassung

Zusammenfassung

Veritas hat Sicherheitslücken geschlossen, die NetBackup-Primärserver betreffen.

Probleme

Problem 1: SQL-Injection-Schwachstellen

Der NetBackup-Primärserver ist für einen SQL-Injection-Angriff anfällig, der den NBFSMCLIENT-Service beeinträchtigt.

  • CVE ID: CVE-2022-42302
  • Schweregrad: kritisch
  • CVSS v3.1 Base Score: 9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
  • Betroffene Komponenten: Primärserver
  • Betroffene Versionen: 10.0 und älter
  • Empfohlene Maßnahmen:
    • NetBackup-Primär- und -Medienserver : Upgrade auf NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0 und Anwendung des entsprechenden Hotfix ODER Upgrade auf 10.0.0.1
    • NetBackup-Clients: nicht betroffen. Keine Maßnahmen erforderlich.
    • NetBackup Appliance: Upgrade auf 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0 und Anwendung des entsprechenden Hotfix oder Upgrade auf 5.0.0.1 MR1.
    • Flex Appliance: Wenden Sie bitte das NetBackup-Hotfix entsprechend der NetBackup-Container-Version auf Flex Appliances an.
    • Flex Scale: Bitte wenden Sie sich an den technischen Support von Veritas und beziehen Sie sich auf Wissensartikel-ID 100053006, um eine Korrektur zu erhalten.

Problem 2: SQL-Injection-Schwachstelle

Der NetBackup-Primärserver ist für einen Second-Order-SQL-Injection-Angriff anfällig, der den NBFSMCLIENT-Service durch Ausnutzung des Problems 1 in dieser Sicherheitsempfehlung beeinträchtigt.

  • CVE ID: CVE-2022-42303
  • Schweregrad: hoch
  • CVSS v3.1 Base Score: 8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • Betroffene Komponenten: Primärserver
  • Betroffene Versionen: 10.0 und älter
  • Empfohlene Maßnahmen:
    • NetBackup-Primär- und -Medienserver : Upgrade auf NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0 und Anwendung des entsprechenden Hotfix ODER Upgrade auf 10.0.0.1
    • NetBackup-Clients: nicht betroffen. Keine Maßnahmen erforderlich.
    • NetBackup Appliance: Upgrade auf 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0 und Anwendung des entsprechenden Hotfix ODER Upgrade auf 5.0.0.1 MR1.
    • Flex Appliance: Wenden Sie bitte das NetBackup-Hotfix entsprechend der NetBackup-Container-Version auf Flex Appliances an.
    • Flex Scale: Bitte wenden Sie sich an den technischen Support von Veritast und beziehen Sie sich auf Wissensartikel-ID 100053006, um eine Korrektur zu erhalten.

Problem 3: SQL-Injection-Schwachstelle

Der NetBackup-Primärserver ist für einen SQL-Injection-Angriff anfällig, der den idm-, nbars-, und SLP-Managercode beeinträchtigt.

  • CVE ID: CVE-2022-42304
  • Schweregrad: hoch
  • CVSS v3.1 Base Score: 8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • Betroffene Komponenten: Primärserver
  • Betroffene Versionen: 10.0 und älter
  • Empfohlene Maßnahmen:
    • NetBackup-Primär- und -Medienserver : Upgrade auf NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0 und Anwendung des entsprechenden Hotfix ODER Upgrade auf 10.0.0.1
    • NetBackup-Clients: nicht betroffen. Keine Maßnahmen erforderlich.
    • NetBackup Appliance: Upgrade auf 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0 und Anwendung des entsprechenden Hotfix ODER Upgrade auf 5.0.0.1 MR1.
    • Flex Appliance: Wenden Sie bitte das NetBackup-Hotfix entsprechend der NetBackup-Container-Version auf Flex Appliances an.
    • Flex Scale: Bitte wenden Sie sich an den technischen Support von Veritas und beziehen Sie sich auf Wissensartikel-ID 100053006, um eine Korrektur zu erhalten.

Hinweise

Diese Sicherheitsempfehlung, VTS22-011, behebt zudem die in VTS22-004 identifizierten Probleme, die zuvor veröffentlicht wurden. Wenn Sie VTS22-004noch nicht angewendet haben, ist es nicht notwendig, diese zuerst anzuwenden. Wenn Sie VTS22-004 bereits angewendet haben, können Sie VTS22-011 einfach zusätzlich anwenden.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit dieser Sicherheitsempfehlung wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE)

Danksagung

Veritas möchte sich bei den folgenden Airbus Security Team-Mitgliedern dafür bedanken, dass sie uns über die diese Probleme informiert haben: Mouad Abouhali, Benoî Camredon, Nicholas Devillers, Anaïs Gantet und Jean-Romain Garnier.

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054