VTS23-005

Notificación sobre XStream de la CISA

Historial de revisión

  • 1.0: 30 de marzo de 2023: lanzamiento público inicial
  • 1.1: 4 de abril de 2023: clarificación de las recomendaciones sobre actualizaciones.      

Veritas tiene conocimiento de la vulnerabilidad de gravedad alta en XStream que se agregó al Catálogo de vulnerabilidades aprovechadas conocidas de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) el 10 de marzo de 2023 (CVE-2021-39144). Veritas ha determinado que NetBackup, NetBackup Appliance, NetBackup Access Appliance y NetBackup Flex Scale contienen el componente XStream. NetBackup Flex Appliance no contiene el componente XStream. Vea a continuación el impacto y las acciones:

NetBackup

  • Ninguna versión de NetBackup se ve afectada por este problema.
  • Las versiones anteriores a 10.0 incluyen una versión de XStream vulnerable y no pueden aprovecharse.
    • Para mitigar las advertencias del analizador de vulnerabilidades: actualice a la versión 10.0 o posteriores.
  • La versión 10.0 y las posteriores no incluyen una versión vulnerable de XStream.
    • No se requiere ninguna acción.

NetBackup Appliance

  • Ninguna versión de NetBackup Appliance se ve afectada por este problema.
  • Solo la versión 3.3.0.2 contiene una versión de XStream vulnerable y no puede aprovecharse.
  • Para mitigar las advertencias del analizador de vulnerabilidades: actualice a las versiones 4.x o 5.x.

NetBackup Access Appliance

  • Ninguna versión de NetBackup Access Appliance se ve afectada por este problema.
  • Solo la versión 7.4.2.400 contiene una versión de XStream vulnerable y no puede aprovecharse.
  • Para mitigar las advertencias del analizador de vulnerabilidades: actualice a las versiones 7.4.3 u 8.x.

NetBackup Flex Scale

  • Ninguna versión de NetBackup Flex Scale se ve afectada por este problema.
  • La versión 2.1 contiene una versión de XStream vulnerable y no puede aprovecharse.
  • Para mitigar las advertencias del analizador de vulnerabilidades: actualice a la versión 3.0.

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.