Historique des révisions
- 1.0 : 1er avril 2022 – version initiale
- 2.0 : 8 avril 2022 – ajout d'Access BYOS et d'InfoScale VEA comme non vulnérables
- 3.0 : 22 avril 2022 – ajout de plusieurs appliances avec des recommandations de remédiation
Résumé
La vulnérabilité d'exécution de code à distance sur Spring Framework via liaison de données sur JDK 9+ (CVE-2022-22965) a été identifiée pour plusieurs appliances Veritas. Les produits Veritas suivants sont concernés :
| Produit | Versions vulnérables | Versions corrigées | ID CVE | Remédiation |
|---|---|---|---|---|
|
Access Appliance |
7.4.3/7.4.3.100/7.4.3.200 |
7.4.3.300 |
||
|
Flex Appliance |
1.3.x, 2.0, 2.0.1, 2.0.2, 2.1 |
2.0.2 avec correctif |
||
|
NetBackup Appliance/ |
4.0/4.0.0.1 MR1/4.0.0.1 MR2 |
4.0.0.1 MR3 avec correctif |
||
|
NetBackup Flex Scale Appliance |
2.1, 3.0 |
Correctif 2.1 |
Problème
Les produits Veritas ci-dessus comprennent des applications Spring Framework fonctionnant sur java JDK 9 et peuvent être vulnérables à l'exécution de code à distance (RCE) via la liaison de données.
Gravité : critique
Score de base CVSS v3.1 : 9,8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
La vulnérabilité de Spring Framework est due à une neutralisation incorrecte des éléments spéciaux utilisés dans une commande du SE (CWE-78). Cela permet à un attaquant de charger une classe malveillante arbitraire, entraînant une possible exécution de code malveillant sur le serveur.
Remédiation
Les clients ayant un contrat de maintenance/support en cours doivent effectuer la mise à jour vers l'une des versions corrigées identifiées dans le tableau ci-dessus.
Produits Veritas non concernés
Les produits Veritas suivants incluent Spring Framework. Toutefois, sur la base des informations actuellement disponibles, ces produits ne semblent pas exploitables par cette vulnérabilité. Veritas mettra à jour cette communication s'il y a des changements à cet égard.
| Produit | Vulnérable | Commentaires |
|---|---|---|
|
Access Appliance 7.4.2.x |
Non |
N'utilise pas JDK >= 9 |
|
CloudPoint |
Non |
N'utilise pas JDK >= 9 |
|
Data Insight |
Non |
N'utilise pas JDK >= 9 |
|
eDiscovery |
Non |
N'utilise pas JDK >= 9 |
|
NetBackup |
Non |
N'utilise pas JDK >= 9 |
|
NetBackup Appliance 3.x |
Non |
N'utilise pas JDK >= 9 |
|
NetBackup Appliance 5.x |
Non |
Utilise Spring Framework 5.3.18 |
|
NetBackup Virtual Appliance 3.x |
Non |
N'utilise pas JDK >= 9 |
|
NetBackup Virtual Appliance 5.x |
Non |
Utilise Spring Framework 5.3.18 |
|
NetBackup IT Analytics (successeur d'APTARE) |
Non |
Ne distribue pas Spring dans un fichier WAR |
|
NetBackup OpsCenter |
Non |
N'utilise pas JDK >= 9 |
|
Veritas InfoScale Operations Manager (VIOM) |
Non |
N'utilise pas JDK >= 9 |
|
Veritas Resiliency Platform (VRP) |
Non |
N'utilise pas JDK >= 9 |
Les produits Veritas suivants n'incluent pas Spring Framework et ne sont pas concernés par cette vulnérabilité :
- Access BYOS
- Appliance Management Server (AMS)
- Backup Exec
- Desktop and Laptop Option
- Enterprise Vault
- Enterprise Vault.cloud
- InfoScale core stack (VCS / VM / FS)
- InfoScale Veritas Enterprise Administrator (VEA)
- NetBackup Recovery Vault
- NetBackup SaaS Protection
- Merge1
- Quick Assist
- Veritas Advanced Supervision
- Veritas System Recovery (VSR)
Questions
Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)
Clause de non-responsabilité
LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.
Veritas Technologies LLC
, 2625 Augustine Drive
, Santa Clara, CA 95054