VTS23-007
Aviso de seguridad para Veritas InfoScale Operations Manager (VIOM)
Historial de revisión
- 1.0: 2 de mayo de 2023: versión inicial
- 1.1: 19 de mayo de 2023: Id. de CVE agregado
- 1.2: 17 de junio de 2023: descripción actualizada para la inyección SQL del Problema n.° 2
Resumen
Veritas descubrió vulnerabilidades de seguridad en Veritas InfoScale Operations Manager (VIOM), como se describe a continuación.
| Problema | Descripción | Gravedad | Versiones reparadas |
|---|---|---|---|
| 1 | Ejecución arbitraria de comandos | Alta | 7.4.2.800 8.0.410 |
| 2 | Inyección SQL | Alta | 7.4.2.800 8.0.410 |
Problema n.° 1: ejecución arbitraria de comandos
La aplicación web de VIOM no valida los datos suministrados por el usuario y los agrega a los comandos del sistema operativo y a los binarios internos utilizados por la aplicación. Un atacante con privilegios de nivel raíz/administrador puede utilizar esta vulnerabilidad para leer datos confidenciales almacenados en los servidores, modificar la configuración de los datos o del servidor y eliminar la configuración de los datos o de la aplicación.
- Id. de CVE: CVE-2023-32568
- Gravedad: alta
- Puntaje base del CVSS v3.1: 7.2 ( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- CWE-78: neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo ("inyección de comandos del sistema operativo")
Problema n.° 2: inyección SQL
La aplicación web InfoScale VIOM es vulnerable a la inyección SQL en algunas de las áreas de la aplicación. Esto permite que los atacantes envíen comandos SQL arbitrarios en la base de datos back-end para crear, leer, actualizar o eliminar cualquier dato confidencial almacenado en la base de datos. Para explotar la vulnerabilidad es necesario acceder a la aplicación con credenciales de administrador válidas.
- Id. de CVE: CVE-2023-32569
- Gravedad: alta
- Puntaje base del CVSS v3.1: 7.2 ( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- CWE-89: neutralización inadecuada de elementos especiales utilizados en un comando de SQL ("inyección de SQL")
Versiones afectadas
Versiones de Veritas InfoScale Operations Manager (VIOM) 7.0, 7.1, 7.2, 7.3, 7.3.1, 7.4, 7.4.2, 8.0. Las versiones anteriores no compatibles también pueden verse afectadas.
Reparación
Los clientes que tienen un contrato de mantenimiento vigente deben aplicar los parches disponibles para su versión de Veritas InfoScale Operations Manager (VIOM):
- Instalar/actualizar a 7.4.2 GA y aplicar la actualización 7.4.2.800, o bien
- Instalar/actualizar a 8.0 GA y aplicar la actualización 8.0.410.
Consulte el Centro de descargas de Veritas para ver las actualizaciones disponibles: https://www.veritas.com/support/es_ES/downloads
Preguntas
Si tiene preguntas o problemas relacionados con estas vulnerabilidades, contáctese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES)
Renuncia de responsabilidad
EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054