Vulnerabilidad de archivos sin firmar en NetBackup IT Analytics

VTS23-002

Vulnerabilidad de archivos sin firmar en NetBackup IT Analytics

Historial de revisión

1.0: 20 de marzo de 2023: versión inicial
1.1: 30 de marzo de 2023: Id. de CVE agregado

Resumen

El proceso de actualización de la aplicación NetBackup IT Analytics de Veritas incluía archivos sin firmar que podían aprovecharse y llevar a que un cliente instalara componentes falsos.

Problema

Id. de CVE: CVE-2023-28818
Gravedad: media
Puntaje base del CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

Un ejecutor malicioso podría instalar archivos ejecutables fraudulentos del recopilador (aptare.jar, upgrademanager.zip) en el servidor del portal de NetBackup IT Analytics que podrían descargarse e instalarse en los recopiladores. (CWE-347: Verificación incorrecta de la firma de cifrado)

Requisitos previos

El ejecutor malicioso necesitaría acceso de rol administrativo o de raíz al servidor del portal de NetBackup IT Analytics para instalar el componente falso.

Versiones afectadas

Versiones 11.1 y 11.0 de NetBackup IT Analytics de Veritas. Las versiones anteriores no admitidas de APTARE IT Analytics también se ven afectadas.

Reparación

Los clientes con un contrato de mantenimiento vigente deben actualizar a la versión 11.2.0 de NetBackup IT Analytics.

Consulte el Centro de descargas de Veritas para ver las actualizaciones disponibles: https://www.veritas.com/support/es_ES/downloads

Preguntas

Si tiene preguntas o problemas relacionados con estas vulnerabilidades, contáctese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES)

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054