Bisherige Aktualisierungen

• 1.0: 26. Juli 2023: Erste Version
• 1.1: 28. Juli 2023: Problembeschreibung aktualisiert
• 1.2: 25. August 2023: CVE-ID hinzugefügt

Zusammenfassung

Im Veritas NetBackup Snapshot Manager wurde eine Sicherheitslücke erkannt, durch die nicht vertrauenswürdige Clients mit dem RabbitMQ-Dienst interagieren konnten. 

Problem

Die Sicherheitslücke wurde durch eine nicht ordnungsgemäße Validierung des Client-Zertifikats aufgrund einer Fehlkonfiguration des RabbitMQ-Dienstes ausgelöst. Die Ausnutzung dieser Sicherheitslücke wirkt sich auf die Vertraulichkeit und Integrität der Meldungen aus, die die Backup- und Wiederherstellungsaufträge steuern, und könnte darin resultieren, dass der Dienst nicht mehr verfügbar ist. Diese Sicherheitslücke wirkt sich nur auf die Aufträge aus, die die Backup- und Wiederherstellungsaktivitäten steuern, und erlaubt kein Zugreifen oder Löschen der Backup-Snapshot-Daten selbst. Dieses Sicherheitslücke ist auf die NetBackup Snapshot Manager-Funktion beschränkt und wirkt sich nicht auf die RabbitMQ-Instanz auf den primären NetBackup-Server aus.

• CVE-ID: CVE-2023-40256
• Schweregrad: kritisch
• CVSS v3.1 Base Score 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• CWE: 295 – Nicht ordnungsgemäße Zertifikatsvalidierung

Betroffene Versionen

Veritas NetBackup Snapshot Manager-Versionen 8.3.0.1, 8.3.0.2, 9.0, 9.1, 9.1.0.1, 10.0, 10.0.0.1, 10.1, 10.1.1, 10.2. Nicht unterstützte ältere Versionen der Vorgängeranwendung Veritas NetBackup CloudPoint können ebenfalls betroffen sein.

Behebung

Kunden mit einem aktuellen Wartungsvertrag sollten ihren NetBackup Snapshot Manager folgendermaßen aktualisieren:

• Upgrade auf 10.2.0.1 (dringend empfohlen)
• Bereitstellung des Hotfixes 10.1.1 (Upgrade auf 10.1.1 ist erforderlich)
• Bereitstellung des Hotfixes 10.0.0.1 (Upgrade auf 10.0.0.1 ist erforderlich)

Verfügbare Aktualisierungen finden Sie im Veritas Download Center: https://www.veritas.com/support/de_DE/downloads

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den Veritas-Techniksupport (https://www.veritas.com/support/de_DE).

Danksagung

Veritas bedankt sich bei Palindrome Technologies für den Hinweis auf dieses Problem.

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND.  VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION.  DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA