Correctif pour Avis de sécurité affectant le client NetBackup

Historique des révisions

• 1.0 : 18 juillet 2022, publication initiale

Résumé

Veritas a résolu deux vulnérabilités affectant des clients NetBackup.

Problèmes

Problème 1 : Exécution de commande arbitraire

Le client NetBackup permet l'exécution de commandes arbitraires à partir de n'importe quel hôte distant qui a accès à un certificat/une clé privée NetBackup d'identifiant d'hôte valide du même domaine.

• ID de CVE : CVE-2022-36956
• Gravité : critique
• Score de base v3.1 : 9,0 (AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)
• Versions affectées : 9.0.x, 9.1.x
• Action recommandée :
  • Mise à niveau vers le client NBU 10.0 : aucun correctif requis, ou
  • Mise à niveau vers le client NBU 9.1.0.1 et application deVTS22-008 : Correctif pour Avis de sécurité affectant les clients NetBackup 9.1.0.1 (Etrack 4066508), ou
  • Mise à niveau vers le client NBU 9.0.0.1 et application deVTS22-008 : Correctif pour Avis de sécurité affectant les clients NetBackup 9.0.0.1 (Etrack 4067247), ou
  • Pour les versions 8.3.x et antérieures du client NBU : pas de vulnérabilité – Sans objet
    

Problème 2 : Élévation des privilèges

Un attaquant disposant d'un accès local non privilégié à un client NetBackup peut envoyer des commandes spécifiques pour élever ses privilèges.

• ID de CVE : CVE-2022-36955
• Gravité : élevée
• Score de base CVSS v3.1 : 7,8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
• Versions affectées : 9.1.x, 9.0.x, 8.3.x, 8.2 et antérieures
• Actions recommandées :
  • Mise à niveau vers le client NBU 10.0 : aucun correctif requis, ou
  • Mise à niveau vers le client NBU 9.1.0.1 et application de VTS22-008 : Correctif pour Avis de sécurité affectant les clients NetBackup 9.1.0.1 (Etrack 4066508), ou
  • Mise à niveau vers le client NBU 9.0.0.1 et application de VTS22-008 : Correctif pour Avis de sécurité affectant les clients NetBackup 9.0.0.1 (Etrack 4067247), ou
  • Mise à niveau vers le client NBU 8.3.0.2 et application de VTS22-008 : Correctif pour Avis de sécurité affectant les clients NetBackup 8.3.0.2 (Etrack 4066512), ou
  • Pour le client NBU 8.2 : application de VTS22-008 : Correctif pour Avis de sécurité affectant les clients NetBackup 8.2 (Etrack 4068828)
  • Pour le client NBU 8.1.2 : application de VTS22-008 : Correctif pour Avis de sécurité affectant les clients NetBackup 8.1.2 (Etrack 4071637)

Remarques

Des correctifs connexes pour ces vulnérabilités destinés au serveur principal et au serveur de médias ont déjà été abordés dans la partie Avis de sécurité pour VTS22-004.

Remerciements

Veritas tient à remercier les membres suivants de l'équipe de sécurité d'Airbus de lui avoir signalé le problème 2 : Mouad Abouhali, Benoit Camredon, Nicholas Devillers, Anais Gantet et Jean-Romain Garnier.

Questions

Pour toute question ou tout problème concernant cette vulnérabilité, contactez le support technique de Veritas (https://www.veritas.com/support)

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC 2625

Augustine Drive

Santa Clara, CA 95054