Bisherige Aktualisierungen

• 1.0: 11. Oktober 2023: Erste Version
• 1.1: 20. Oktober 2023: Zwischenstand
• 1.2: 6. November 2023: Zwischenstand
• 1.3: 28. November 2023: Zwischenstand
• 1.4: 5. Dezember 2023: Zwischenstand
• 1.5: 18. Dezember 2023: Zwischenstand

Produkte: Siehe Status unten.

Zusammenfassung

Veritas ist über die kürzlich gemeldete Sicherheitslücke mit hohem Schweregrad in Curl und Libcurl informiert (CVE-2023-38545). Alle Produktsicherheits- und Bereitstellungs-Teams von Veritas bewerten inwiefern jedes Produkt von Veritas betroffen ist.

Aktueller Status der Sicherheitslücke für CVE-2023-38545 und CVE-2023-38546:

* Anleitung zu NetBackup und Appliance

Veritas NetBackup stuft CVE-2023-38545 als sehr niedriges Risiko für Kunden ein. Kunden können vorhandene Versionen von NetBackup weiterhin verwenden. Kunden, die besorgt sind, dass sie die unten aufgeführten Anfälligkeitsbedingungen erfüllen, wird empfohlen, ein Upgrade auf NetBackup 10.1.1 oder höher vorzunehmen und dann die entsprechende EEB zu installieren, um das Problem zu beheben. 

Die Standardeinstellungen von NetBackup verwenden nicht das socks5h-Protokoll.

Um diese Sicherheitslücke ausnutzen zu können, müssen Angreifer zu Folgendem in der Lage sein:

1. SERVER-Einträge in der Konfiguration von NetBackup steuern (bp.conf auf UNIX)
2. Umgebungsvariable des Kontos, unter dem NetBackup-Dienste ausgeführt werden, steuern

Beide oben genannten Bedingungen können nur im Administrator-/Root-/Dienstkonto geändert werden.

Sollten Sie dennoch Zweifel haben, und ein Update wünschen, führen Sie die empfohlenen Maßnahmen unten durch:

Betroffene Komponenten: Primär- und Medienserver sowie Clients

Betroffene Versionen: 8.3 und höher

Empfohlene Maßnahmen:

NetBackup-Primär- und -Medienserver: Upgrade auf 10.1.1 oder 10.2.0.1 oder 10.3 und Anwendung des/der entsprechenden Hotfix(es) über das Download-Center.

NetBackup-Clients: Upgrade auf 10.1.1 oder 10.2.0.1 oder 10.3 und Anwendung des entsprechenden Hotfix über das Download-Center.

NetBackup Appliance: Upgrade auf 5.1.1 MR2 Wartungsversion Anwendung des entsprechenden Hotfix über das Download-Center.

Flex Appliance: Upgrade des NetBackup Containers und Anwenden des NetBackup-Hotfix entsprechend der NetBackup-Container-Version auf Flex Appliances.

Access Appliance: Upgrade auf 8.1 oder 8.1.100 (empfohlen) und Anwenden des entsprechenden Hotfix über Downloads für NetBackup 10.1.1.

Flex Scale: Bitte wenden Sie sich an den technischen Support von Veritas und beziehen Sie sich auf VTS23-013, um eine Korrektur zu erhalten.

** Hinweise zu NetBackup Snapshot Manager

Anleitungen von RedHat – Damit ein Angreifer die Sicherheitslücke ausnutzen kann, muss eine Reihe von Bedingungen erfüllt sein, und die Wahrscheinlichkeit hierfür ist gering. Auch wenn der Fehler ausgelöst werden könnte, ist das Risiko, dass eine Cookie-Injektion Schaden anrichtet, ebenfalls gering.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE).

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND.  VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION.  DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA