VTS22-012

Hotfix für Sicherheitslücken, die NetBackup-Server und -Clients betreffen

Bisherige Aktualisierungen

  • 1.0: Ende September 2022 – Öffentliche Erstfassung

Zusammenfassung

Veritas hat Sicherheitslücken geschlossen, die NetBackup-Primär- und Medienserver sowie -Clients betreffen.

Probleme

Problem 1: Path-Traversal-Sicherheitslücke

Der NetBackup-Primärserver ist über den DiscoveryService-Service für einen Path-Traversal-Angriff anfällig.

  • CVE ID: CVE-2022-42305
  • Schweregrad: mittel
  • CVSS v3.1 Base Score: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Betroffene Komponenten: Primärserver, obwohl Fixes für Primärserver, Medienserver und Clients gelten Siehe die nachfolgend empfohlenen Maßnahmen.
  • Betroffene Versionen: 10.0.0.1 und älter
  • Empfohlene Maßnahmen:
  • NetBackup-Primärserver, -Medienserver, -Clients: Upgrade auf 8.3.0.2 oder 9.0.0.1 oder 9.1.0.1 oder 10.0.0.1 und Anwendung des entsprechenden Hotfix.
  • NetBackup Appliance: Upgrade auf eine der Wartungsversionen (Maintenance Release, MR) 3.3.0.2 oder 4.0.0.1 oder 4.1.0.1 oder 5.0.0.1 MR1 und Anwendung des entsprechenden Hotfix. Client-Hotfix nicht verfügbar.
  • Flex Appliance: Wenden Sie bitte das NetBackup-Hotfix entsprechend der NetBackup-Container-Version auf Flex Appliances an. Client-Hotfix nicht verfügbar.
  • Flex Scale: Bitte wenden Sie sich an den technischen Support von Veritas und beziehen Sie sich auf Wissensartikel-ID 100053006, um eine Korrektur zu erhalten.

Problem 2: XML External Entity-Injection-Schwachstelle

  • Der NetBackup-Primärserver ist über den DiscoveryService-Service für einen XML External Entity (XXE)-Injection-Angriff anfällig.
  • CVE ID: CVE-2022-42307
  • Schweregrad: mittel
  • CVSS v3.1 Base Score: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Betroffene Komponenten: Primärserver, obwohl Fixes für Primärserver, Medienserver und Clients gelten Siehe die nachfolgend empfohlenen Maßnahmen.
  • Betroffene Versionen: 10.0.0.1 und älter
  • Empfohlene Maßnahmen:
    • NetBackup-Primärserver, -Medienserver, -Clients: Upgrade auf 8.3.0.2 oder 9.0.0.1 oder 9.1.0.1 oder 10.0.0.1 und Anwendung des entsprechenden Hotfix.
    • NetBackup Appliance: Upgrade auf eine der Wartungsversionen (Maintenance Release, MR) 3.3.0.2 oder 4.0.0.1 oder 4.1.0.1 oder 5.0.0.1 MR1 und Anwendung des entsprechenden Hotfix. Client-Hotfix nicht verfügbar.
    • Flex Appliance: Wenden Sie bitte das NetBackup-Hotfix entsprechend der NetBackup-Container-Version auf Flex Appliances an. Client-Hotfix nicht verfügbar.
    • Flex Scale: Bitte wenden Sie sich an den technischen Support von Veritas und beziehen Sie sich auf Wissensartikel-ID 100053006, um eine Korrektur zu erhalten.

Problem 3: Denial of Service

Der NetBackup-Primärserver ist über den DiscoveryService-Service für einen Denial-of-Service-Angriff anfällig.

  • CVE ID: CVE-2022-42299
  • Schweregrad: mittel
  • CVSS v3.1 Base Score: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  • Betroffene Komponenten: Primärserver, obwohl Fixes für Primärserver, Medienserver und Clients gelten Siehe die nachfolgend empfohlenen Maßnahmen.
  • Betroffene Versionen: 10.0.0.1 und älter
  • Empfohlene Maßnahmen:
    • NetBackup-Primärserver, -Medienserver, -Clients: Upgrade auf 8.3.0.2 oder 9.0.0.1 oder 9.1.0.1 oder 10.0.0.1 und Anwendung des entsprechenden Hotfix.
    • NetBackup Appliance: Upgrade auf eine der Wartungsversionen (Maintenance Release, MR) 3.3.0.2 oder 4.0.0.1 oder 4.1.0.1 oder 5.0.0.1 MR1 und Anwendung des entsprechenden Hotfix. Client-Hotfix nicht verfügbar.
    • Flex Appliance: Wenden Sie bitte das NetBackup-Hotfix entsprechend der NetBackup-Container-Version auf Flex Appliances an. Client-Hotfix nicht verfügbar.
    • Flex Scale: Bitte wenden Sie sich an den technischen Support von Veritas und beziehen Sie sich auf Wissensartikel-ID 100053006, um eine Korrektur zu erhalten.

Hinweise

Diese Sicherheitsempfehlung, VTS22-012, behebt zudem die in VTS22-008 identifizierten Probleme, die zuvor veröffentlicht wurden. Wenn Sie VTS22-008 noch nicht angewendet haben, ist es nicht notwendig, VTS22-008 zuerst anzuwenden. Sie können einfach VTS22-012 anwenden. Wenn Sie VTS22-008 bereits angewendet haben, können Sie VTS22-012 einfach zusätzlich anwenden.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit dieser Sicherheitsempfehlung wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE

Danksagung

Veritas möchte sich bei den folgenden Airbus Security Team-Mitgliedern dafür bedanken, dass sie uns über die diese Probleme informiert haben: Mouad Abouhali, Benoî Camredon, Nicholas Devillers, Anaïs Gantet und Jean-Romain Garnier.

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN. ALLE ZUKUNFTWEISENDEN HINWEISE AUF PLÄNE FÜR PRODUKTE SIND VORLÄUFIG UND SÄMTLICHE ZUKÜNFTIGEN VERÖFFENTLICHUNGSTERMINE SIND UNVERBINDLICH UND KÖNNEN GEÄNDERT WERDEN. JEDE ZUKÜNFTIGE VERSION DES PRODUKTS ODER GEPLANTE ÄNDERUNGEN AN PRODUKTFÄHIGKEITEN ODER -FUNKTIONEN UNTERLIEGEN DER FORTLAUFENDEN EVALUIERUNG DURCH VERITAS. DIESE ÄNDERUNGEN MÜSSEN ABER NICHT IMPLEMENTIERT WERDEN. SIE SOLLTEN NICHT ALS FESTE ZUSAGEN DURCH VERITAS ANGESEHEN WERDEN UND NICHT ALS VERBINDLICH BEI DER ENTSCHEIDUNG BETRACHTET WERDEN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054