VTS22-012

corrección para el aviso de seguridad que afecta a los servidores y clientes de NetBackup

Historial de revisión

  • 1.0: fines de septiembre de 2022 – lanzamiento público inicial

Resumen

Veritas ha abordado vulnerabilidades que afectan a los servidores primarios y de soportes así como a los clientes de NetBackup.

Problemas

Problema n.º 1: salto de directorio

El servidor primario de NetBackup es vulnerable a un ataque de salto de directorio a través del servicio DiscoveryService.

  • Id. de CVE: CVE-2022-42305
  • Gravedad: media
  • Puntaje base del CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Componentes afectados: servidor primario, aunque las correcciones se aplican al servidor primario, el servidor de soportes y los clientes. Consulte la acción recomendada a continuación.
  • Versiones afectadas: 10.0.0.1 y anteriores
  • Acción recomendada:
  • Servidores primarios, servidores de soportes, clientes de NetBackup: actualice a 8.3.0.2 o 9.0.0.1, o 9.1.0.1 o 10.0.0.1 y aplique la corrección adecuada.
  • NetBackup Appliance: actualice a cualquier versión de mantenimiento (MR) de 3.3.0.2 o 4.0.0.1 o 4.1.0.1 o 5.0.0.1 MR1 y aplique la corrección adecuada. No aplica corrección del cliente.
  • Flex Appliance: aplique la corrección de NetBackup que corresponde a la versión del contenedor de NetBackup en Flex Appliances. No aplica corrección del cliente.
  • Flex Scale: contáctese con el Soporte Técnico de Veritas y haga referencia al Artículo de conocimiento Id. 100053006 para obtener una corrección.

Problema n.° 2: inyección de entidad externa XML

El servidor primario de NetBackup es vulnerable a un ataque de inyección de entidad externa XML (XXE) a través del servicio DiscoveryService.

  • Id. de CVE: CVE-2022-42307
  • Gravedad: media
  • Puntaje base del CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Componentes afectados: servidor primario, aunque las correcciones se aplican al servidor primario, el servidor de soportes y los clientes. Consulte la acción recomendada a continuación.
  • Versiones afectadas: 10.0.0.1 y anteriores
  • Acción recomendada:
    • Servidores primarios, servidores de soportes, clientes de NetBackup: actualice a 8.3.0.2 o 9.0.0.1, o 9.1.0.1 o 10.0.0.1 y aplique la corrección adecuada.
    • NetBackup Appliance: actualice a cualquier versión de mantenimiento (MR) de 3.3.0.2 o 4.0.0.1 o 4.1.0.1 o 5.0.0.1 MR1 y aplique la corrección adecuada. No aplica corrección del cliente.
    • Flex Appliance: aplique la corrección de NetBackup que corresponde a la versión del contenedor de NetBackup en Flex Appliances. No aplica corrección del cliente.
    • Flex Scale: contáctese con el Soporte Técnico de Veritas y haga referencia al Artículo de conocimiento Id. 100053006 para obtener una corrección.

Problema n.° 3: rechazo del servicio

El servidor primario de NetBackup es vulnerable a un ataque de rechazo del servicio a través del servicio DiscoveryService.

  • Id. de CVE: CVE-2022-42299
  • Gravedad: media
  • Puntaje base del CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  • Componentes afectados: servidor primario, aunque las correcciones se aplican al servidor primario, el servidor de soportes y los clientes. Consulte la acción recomendada a continuación.
  • Versiones afectadas: 10.0.0.1 y anteriores
  • Acción recomendada:
    • Servidores primarios, servidores de soportes, clientes de NetBackup: actualice a 8.3.0.2 o 9.0.0.1, o 9.1.0.1 o 10.0.0.1 y aplique la corrección adecuada.
    • NetBackup Appliance: actualice a cualquier versión de mantenimiento (MR) de 3.3.0.2 o 4.0.0.1 o 4.1.0.1 o 5.0.0.1 MR1 y aplique la corrección adecuada. No aplica corrección del cliente.
    • Flex Appliance: aplique la corrección de NetBackup que corresponde a la versión del contenedor de NetBackup en Flex Appliances. No aplica corrección del cliente.
    • Flex Scale: contáctese con el Soporte Técnico de Veritas y haga referencia al Artículo de conocimiento Id. 100053006 para obtener una corrección.

Notas

Este aviso de seguridad, VTS22-012, también aborda los problemas identificados en VTS22-008, publicado anteriormente. Si aún no ha aplicado VTS22-008, no es necesario aplicar VTS22-008 primero, simplemente aplique VTS22-012. Si ya ha aplicado VTS22-008, puede aplicar con seguridad VTS22-012 encima.

Preguntas

Si tiene preguntas o problemas relacionados con esta vulnerabilidad, contáctese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES

Reconocimiento

Veritas desea agradecer a los siguientes miembros del Equipo de Airbus Security por notificarnos sobre la mayoría de estos problemas: Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet y Jean-Romain Garnier.

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO. TODA INDICACIÓN POR ADELANTADO DE PLANES SOBRE PRODUCTOS SE REALIZA EN FORMA PRELIMINAR Y TODAS LAS FECHAS DE LANZAMIENTO FUTURAS SON PROVISIONALES Y ESTÁN SUJETAS A CAMBIOS. TODO LANZAMIENTO FUTURO DE PRODUCTOS O MODIFICACIONES PLANIFICADAS A LAS CAPACIDADES, FUNCIONALIDADES O FUNCIONES DEL PRODUCTO, QUE PUEDEN IMPLEMENTARSE O NO, ESTÁN SUJETAS A REVISIÓN CONTINUA POR PARTE DE VERITAS. ASIMISMO, NO DEBEN CONSIDERARSE COMO COMPROMISOS POR PARTE DE VERITAS NI DEBEN TENERSE EN CUENTA PARA TOMAR DECISIONES DE COMPRA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054