VTS22-011

Correctif pour Avis de sécurité affectant les serveurs NetBackup

Historique des révisions

  • 1.0 : Fin septembre 2022 – première version publique

Résumé

Veritas a résolu des vulnérabilités affectant les serveurs principaux NetBackup.

Problèmes

Problème 1 : injection SQL

Le serveur principal NetBackup est vulnérable à une attaque par injection SQL affectant le service NBFSMCLIENT.

  • ID de CVE :CVE-2022-42302
  • Gravité : critique
  • Score de base CVSS v3.1 : 9,0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
  • Composants affectés : serveurs principaux
  • Versions affectées : 10.0 et antérieures
  • Action recommandée :
    • Serveurs principaux et de médias NetBackup : mettre à niveau vers la version NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0 et appliquer le correctif approprié OU mettre à niveau vers la version 10.0.0.1
    • Clients NetBackup : pas d'impact. Aucune action n'est requise.
    • NetBackup Appliance : mettre à jour vers la version 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0 et appliquer le correctif approprié ou mettre à jour vers la version 5.0.0.1 MR1.
    • Flex Appliance : appliquer le correctif NetBackup correspondant à la version du conteneur NetBackup sur les appliances Flex.
    • Flex Scale : veuillez contacter le support technique de Veritas et vous reporter à l'ID d'article de base de connaissances 100053006 pour obtenir un correctif.

Problème 2 : injection SQL

Le serveur principal NetBackup est vulnérable à une attaque par injection SQL de 2e ordre affectant le service NBFSMCLIENT en exploitant le problème 1 du présent avis.

  • ID de CVE : CVE-2022-42303
  • Gravité : élevée
  • Score de base CVSS v3.1 : 8,0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • Composants affectés : serveurs principaux
  • Versions affectées : 10.0 et antérieures
  • Action recommandée :
    • Serveurs principaux et de médias NetBackup : mettre à niveau vers la version NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0 et appliquer le correctif approprié OU mettre à niveau vers la version 10.0.0.1
    • Clients NetBackup : pas d'impact. Aucune action n'est requise.
    • NetBackup Appliance : mettre à jour vers la version 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0 et appliquer le correctif approprié OU mettre à jour vers la version 5.0.0.1 MR1.
    • Flex Appliance : appliquer le correctif NetBackup correspondant à la version du conteneur NetBackup sur les appliances Flex.
    • Flex Scale : veuillez contacter le support technique de Veritas et vous reporter à l'ID d'article de base de connaissances 100053006 pour obtenir un correctif.

Problème 3 : injection SQL

Le serveur principal NetBackup est vulnérable à une attaque par injection SQL affectant le code du gestionnaire SLP, idm et nbars.

  • ID de CVE : CVE-2022-42304
  • Gravité : élevée
  • Score de base CVSS v3.1 : 8,0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • Composants affectés : serveurs principaux
  • Versions affectées : 10.0 et antérieures
  • Action recommandée :
    • Serveurs principaux et de médias NetBackup : mettre à niveau vers la version NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0 et appliquer le correctif approprié OU mettre à niveau vers la version 10.0.0.1
    • Clients NetBackup : pas d'impact. Aucune action n'est requise.
    • NetBackup Appliance : mettre à jour vers la version 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0 et appliquer le correctif approprié OU mettre à jour vers la version 5.0.0.1 MR1.
    • Flex Appliance : appliquer le correctif NetBackup correspondant à la version du conteneur NetBackup sur les appliances Flex.
    • Flex Scale : veuillez contacter le support technique de Veritas et vous reporter à l'ID d'article de base de connaissances 100053006 pour obtenir un correctif.

Remarques

Cet Avis de sécurité, VTS22-011, concerne également les problèmes identifiés dans VTS22-004 publié auparavant. Si vous n'avez pas encore appliqué l'avis VTS22-004, il n'est pas nécessaire de l'appliquer avant. Si vous avez déjà appliqué l'avis VTS22-004, vous pouvez appliquer VTS22-011 par-dessus en toute sécurité.

Questions

Pour toute question ou tout problème concernant cet avis, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)

Remerciements

Veritas tient à remercier les membres suivants de l'équipe de sécurité d'Airbus de lui avoir signalé ces problèmes :  Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet et Jean-Romain Garnier.

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054