Sicherheitslücke durch unsignierte Dateien in NetBackup IT Analytics

VTS23-002

Sicherheitslücke durch unsignierte Dateien in NetBackup IT Analytics

Bisherige Aktualisierungen

1.0: 20. März 2023: Erste Version
1.1 : 20. März 2023: CVE-ID hinzugefügt

Zusammenfassung

Der Upgrade-Prozess für die Veritas NetBackup IT Analytics-Anwendung umfasste unsignierte Dateien, die als Schwachstelle ausgenutzt werden konnten und zur Installation von nicht authentifizierten Komponenten durch Kunden führen konnten.

Problem

CVE-ID: CVE-2023-28818
Schweregrad: mittel
CVSS v3.1 Base Score 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

Boshafte Akteure konnten ausführbare Rogue Collector-Dateien (aptare.jar, upgrademanager.zip) auf dem NetBackup IT Analytics Portal-Server installieren, die dann heruntergeladen und auf Collectors installiert werden konnten. (CWE-347: Unzureichende Prüfung der kryptografischen Signatur)

Voraussetzungen

Der boshafte Akteur würde Administrator-/Root-Zugriff auf den NetBackup IT Analytics Portal-Server benötigen, um die nicht authentifizierte Komponente zu installieren.

Betroffene Versionen

Veritas NetBackup IT Analytics-Versionen 11.1 und 11.0. Ältere nicht unterstützte Versionen von APTARE IT Analytics sind ebenso betroffen.

Behebung

Kunden mit einem aktuellen Wartungsvertrag sollten ihre Version auf die NetBackup IT Analytics-Version 11.2.0. aktualisieren.

Verfügbare Aktualisierungen finden Sie im Veritas Download Center : https://www.veritas.com/support/de_DE/downloads

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE)

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054