VTS23-007
Veritas InfoScale Operations Manager (VIOM) – Sicherheitsempfehlung
Bisherige Aktualisierungen
- 1.0: 02. Mai 2023: Erste Version
- 1.1: 19. Mai 2023: CVE-ID hinzugefügt
- 1.2: 17. Juni 2023: Aktualisierte Beschreibung für Fehler #2 SQL-Einschleusung
Zusammenfassung
Veritas hat die unten beschriebenen Sicherheitslücken in Veritas InfoScale Operations Manager (VIOM) ermittelt.
| Problem | Beschreibung | Schweregrad | Korrigierte Versionen |
|---|---|---|---|
| 1 | Ausführung eines beliebigen Befehls | Hoch | 7.4.2.800 8.0.410 |
| 2 | SQL-Einschleusung | Hoch | 7.4.2.800 8.0.410 |
Problem Nr. 1: Ausführung eines beliebigen Befehls
Die VIOM-Webanwendung validiert nicht die vom Benutzer bereitgestellten Daten und hängt diese an OS-Befehle und interne Binärdateien an, die die Anwendung verwendet. Ein Angreifer mit Berechtigungen auf Stamm-/Administratorebene kann diese Schwachstelle ausnutzen, um sensible Daten zu lesen, die auf den Servern gespeichert sind, Daten oder Serverkonfigurationen zu ändern und Daten oder Anwendungskonfigurationen zu löschen.
- CVE-ID: CVE-2023-32568
- Schweregrad: hoch
- CVSS v3.1 Base Score: 7.2 ( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- CWE-78: Nicht angemessene Neutralisierung von besonderen Elementen, die in einem OS-Befehl verwendet werden („OS-Befehlseinschleusung“)
Problem 2: SQL-Einschleusung
Die InfoScale-VIOM-Webanwendung weist in einigen Bereichen der Anwendung eine Schwachstelle in Bezug auf SQL-Einschleusung auf . So können Angreifer willkürliche SQL-Befehle an die Back-End-Datenbank senden, um sensible in der Datenbank gespeicherte Daten zu erstellen, lesen, aktualisieren und löschen. Zum Ausnutzen der Schwachstelle ist Zugriff auf die Anwendung mit gültigen Admin-Anmeldedaten erforderlich.
- CVE-ID: CVE-2023-32569
- Schweregrad: hoch
- CVSS v3.1 Base Score: 7.2 ( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- CWE-89: Nicht angemessene Neutralisierung von besonderen Elementen, die in einem SQL-Befehl verwendet werden („SQL-Einschleusung“)
Betroffene Versionen
Veritas InfoScale Operations Manager (VIOM) Versionen 7.0, 7.1, 7.2, 7.3, 7.3.1, 7.4, 7.4.2, 8.0. Nicht unterstützte ältere Versionen können ebenfalls betroffen sein.
Behebung
Kunden mit aktuellen Wartungsverträgen, sollten die für ihre Version von Veritas InfoScale Operations Manager (VIOM) verfügbaren Patches anwenden:
- Installation von/Upgrade auf 7.4.2 GA und Ausführen des Updates 7.4.2.800 oder
- Installation von/Upgrade auf 8.0 GA und Ausführen des Updates 8.0.410.
Verfügbare Aktualisierungen finden Sie im Veritas Download Center: https://www.veritas.com/support/de_DE/downloads
Fragen
Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE)
Haftungsausschluss
DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054