Historique des révisions
- 1.0 : 28 février 2022 – version initiale
Résumé
En lien avec une vulnérabilité signalée à titre privé, Veritas a identifié des failles de sécurité liées à Veritas InfoScale Operations Manager (VIOM) comme expliqué ci-dessous.
| Problème | Description | Gravité | Versions corrigées |
|---|---|---|---|
|
1 |
Neutralisation incorrecte de l'entrée durant la génération de la page web (« Cross-Site Scripting » réfléchi) |
Moyenne |
7.4.2, 8.0 |
|
2 |
« Path Traversal » absolu |
Moyenne |
7.4.2, 8.0 |
Problème 1
Une vulnérabilité de type « Cross-Site Scripting » (XSS) réfléchi permet à un utilisateur VIOM malintentionné d'injecter un script malveillant dans le navigateur d'un autre utilisateur. (CWE-79)
- ID CVE : CVE-2022-26483
- Gravité : moyenne
- Score de base CVSS v3.1 : 4,8 (AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N)
Résumé
Une vulnérabilité de type « Cross-Site Scripting » (XSS) réfléchi affecte l'application Veritas InfoScale Operations Manager, ce qui permet aux attaquants distants authentifiés d'injecter un script web ou du contenu HTML arbitraire dans le paramètre HTTP/GET qui reflète la saisie de l'utilisateur non nettoyée.
L'application web Veritas InfoScale Operations Manager ne vérifie pas correctement les paramètres envoyés via des méthodes GET qui sont inclus dans la réponse du serveur.
Conditions requises
Vous devez avoir accès à l'application web en tant qu'utilisateur disposant d'un rôle administratif/racine.
Terminaux affectés
Impact sur la sécurité
En exploitant cette vulnérabilité, il est possible de mener des attaques de phishing à l'encontre d'utilisateurs de l'application web Veritas InfoScale Operations Manager.
Versions affectées
Serveur de gestion et hôtes/agents gérés Veritas InfoScale Operations Manager (VIOM), versions 8.0, 7.4.2, 7.4, 7.3.1, 7.3, 7.2, 7.1 et 7.0. Les versions antérieures non prises en charge peuvent également être affectées.
Problème 2
Une vulnérabilité de type « path traversal » absolu permet à utilisateur d'obtenir un accès non autorisé aux ressources sur le serveur (CWE-36).
- ID CVE : CVE-2022-26484
- Gravité : moyenne
- Score de base CVSS v3.1 : 4,9 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)
Résumé
Le serveur web ne parvient pas à nettoyer les données d'entrée, ce qui permet à un attaquant distant authentifié de lire des fichiers arbitraires sur le système. En manipulant le nom de ressource dans les demandes GET faisant référence aux fichiers avec des chemins d'accès absolus, il est possible d'accéder aux fichiers arbitraires stockés sur le système de fichiers, y compris le code source de l'application, les fichiers de configuration et des fichiers système critiques.
Conditions requises
Vous devez avoir accès à l'application web en tant qu'utilisateur disposant d'un rôle administratif/racine.
Terminaux affectés
Impact sur la sécurité
En exploitant cette vulnérabilité sur le serveur web, il était possible de lire n'importe quel fichier sur le système de fichiers, puisque l'application web s'exécutait avec les privilèges de l'utilisateur racine.
Versions affectées
Serveur de gestion et hôtes/agents gérés Veritas InfoScale Operations Manager (VIOM), versions 8.0, 7.4.2, 7.4, 7.3.1, 7.3, 7.2, 7.1 et 7.0. Les versions antérieures non prises en charge peuvent également être affectées.
Remédiation
Les clients liés par un contrat de maintenance en cours devraient passer à l'une des versions suivantes et installer les fichiers binaires d'application qui atténuent cette vulnérabilité :
- 7.4.2 (voir la note technique : Veritas InfoScale Operations Manager 7.4.2 correctif 600)
- 8.0 (voir la note technique : Veritas InfoScale Operations Manager 8.0.0 correctif 100)
Consultez le Centre de téléchargements Veritas pour découvrir les mises à jour disponibles : https://www.veritas.com/support/fr_FR/downloads
Questions
Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)
Remerciements
Veritas souhaiterait remercier Luca Carbone, Antonio Papa, Vincenzo Nigro et Massimiliano Brolli ainsi que TIM Security Red Team Research de nous avoir informés de ces vulnérabilités.
Clause de non-responsabilité
LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OU CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.
Veritas Technologies LLC
, 2625 Augustine Drive
, Santa Clara, CA 95054