VTS22-019

Corrección para el aviso de seguridad que afecta a NetBackup Flex Scale y Access Appliance

Historial de revisión

  • 1.0: 30 de noviembre 2022: lanzamiento público inicial
  • 1.1: 08 de diciembre 2022 – Id. de CVE agregado

Resumen

Veritas ha solucionado las vulnerabilidades que afectan a NetBackup Flex Scale y Access Appliance.

Problemas

Problema n.° 1: ejecución de comando remoto no autenticada

Access Appliance y NetBackup Flex Scale son vulnerables a una vulnerabilidad de ejecución de comando remoto no autenticada.

  • Id. de CVE: CVE-2022-46414
  • Gravedad: crítica
  • Puntaje de base del CVSS v3.1: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
  • Producto y versión afectados:
    • NetBackup Flex Scale 3.0 y anterior
    • Access Appliance 8.0.100 y anterior
  • Acción recomendada:
    • NetBackup Flex Scale: actualice a la versión 3.0 y aplique la corrección
    • Access Appliance: actualice a 7.4.3.300 u 8.0.100 y aplique la corrección correspondiente

Problema n.° 2: ejecución de comando remoto autenticada

Access Appliance y NetBackup Flex Scale son vulnerables a una vulnerabilidad de ejecución de comando remoto autenticada

  • Id. de CVE: CVE-2022-46413
  • Gravedad: alta
  • Puntaje de base del CVSS v3.1: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Producto y versión afectados:
    • NetBackup Flex Scale 3.0 y anterior
    • Access Appliance 8.0.100 y anterior
  • Acción recomendada:
    • NetBackup Flex Scale: actualice a la versión 3.0 y aplique la corrección
    • Access Appliance: actualice a la versión 7.4.3.300 u 8.0.100 y aplique la corrección correspondiente

Problema n.° 3: credenciales predeterminadas conservadas para el usuario principal

Una contraseña predeterminada se conserva después de la instalación y se puede descubrir y usar para escalar privilegios.

  • Id. de CVE: CVE-2022-46411
  • Gravedad: alta
  • Puntaje de base del CVSS v3.1: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Producto y versión afectados:
    • NetBackup Flex Scale 3.0 y anterior
    • Access Appliance 8.0.100 y anterior
  • Acción recomendada:
    • NetBackup Flex Scale: actualice a la versión 3.0 y aplique la corrección
    • Access Appliance: actualice a 7.4.3.300 u 8.0.100 y aplique la corrección correspondiente

Problema n.° 4: el shell restringido permite escapar al shell regular

Es posible que un usuario sin privilegios escape de un shell restringido y ejecute comandos privilegiados.

  • Id. de CVE: CVE-2022-46412
  • Gravedad: alta
  • Puntaje de base del CVSS v3.1: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Producto y versión afectados:
    • NetBackup Flex Scale 3.0 y anterior
  • Acción recomendada:
    • NetBackup Flex Scale: actualice a la versión 3.0 y aplique la corrección

Problema n.º 5: escalamiento de privilegios de shell

Un atacante con privilegios que no sean de raíz puede escalar los privilegios a la raíz usando comandos específicos.

  • Id. de CVE: CVE-2022-46410
  • Gravedad: alta
  • Puntaje de base del CVSS v3.1: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Producto y versión afectados:
    • NetBackup Flex Scale 3.0 y anterior
  • Acción recomendada:
    • NetBackup Flex Scale: actualice a la versión 3.0 y aplique la corrección

Notas

Para descargar la corrección adecuada para NetBackup Flex Scale o Access Appliance, consulte la página de descarga de soporte de Veritas.

Preguntas

Si tiene preguntas o problemas relacionados con esta vulnerabilidad, contáctese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES)

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTA DOCUMENTACIÓN ESTÁ SUJETA A CAMBIOS SIN AVISO. TODA INDICACIÓN POR ADELANTADO DE PLANES SOBRE PRODUCTOS SE REALIZA EN FORMA PRELIMINAR, Y TODAS LAS FECHAS DE LANZAMIENTO FUTURAS SON PROVISIONALES Y ESTÁN SUJETAS A CAMBIOS. TODO LANZAMIENTO FUTURO DE PRODUCTOS O MODIFICACIONES PLANIFICADAS A LAS CAPACIDADES, FUNCIONALIDADES O FUNCIONES DEL PRODUCTO ESTÁ SUJETO A REVISIÓN CONTINUA POR PARTE DE VERITAS Y PUEDE NO IMPLEMENTARSE. ASIMISMO, NO DEBEN CONSIDERARSE COMO COMPROMISOS POR PARTE DE VERITAS NI DEBEN TENERSE EN CUENTA PARA TOMAR DECISIONES DE COMPRA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054