VTS22-015

Correctif pour Avis de sécurité affectant la console d'administration Java de NetBackup

Historique des révisions

  • 1.0 15 novembre 2022 – première version publique
  • 1.1: 18 novembre 2022 – ID de CVE ajouté

Résumé

Veritas a corrigé une vulnérabilité d'injection de commande de système d'exploitation affectant la console d'administration Java de NetBackup. Reportez-vous à la section « Remarques » ci-dessous pour déterminer si vous êtes vulnérable à ce problème. Seuls les utilisateurs explicitement ajoutés au fichier auth.conf peuvent exploiter cette vulnérabilité.

Problèmes

Vulnérabilité d'injection de commande de système d'exploitation

Une vulnérabilité dans la console d'administration Java de NetBackup permet aux utilisateurs authentifiés autres que racine qui ont été explicitement ajoutés au fichier auth.conf d'exécuter des commandes arbitraires en tant que racine.

  • ID de CVE : CVE-2022-45461
  • Gravité : élevée
  • Score de base CVSS v3.1 :7.5 AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Composants potentiellement affectés : serveurs principaux, serveurs de médias et clients. (Voir Remarques ci-dessous).
  • Action recommandée :
    • NetBackup : mettre à niveau vers 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0.0.1 ou 10.1 et appliquer le correctif correspondant.
    • NetBackup Appliance : mettre à jour vers 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1 ou 5.0.0.1 MR1 et appliquer le correctif approprié.
    • Flex Appliance : appliquer le correctif NetBackup correspondant à la version du conteneur NetBackup sur les appliances Flex.
    • Flex Scale : veuillez contacter le support technique de Veritas et vous reporter à l'ID d'article de base de connaissances 100053006 pour obtenir un correctif.

Remarques

Le fichier /usr/openv/java/auth.conf accorde l'accès aux fonctions de la console d'administration NetBackup. Ce fichier est créé par défaut avec seulement l'utilisateur racine ayant des droits d'administration. Ce fichier est présent sur les serveurs principaux, les serveurs de médias et les clients.

À moins que auth.conf ne soit modifié par l'ajout d'utilisateurs autres que racine et que ces utilisateurs puissent gérer les serveurs principaux, les serveurs de médias ou les clients, l'environnement n'est PAS vulnérable et le correctif n'est pas nécessaire.

Cela n'affecte que les serveurs et les clients basés sur Unix. Les serveurs et clients basés sur Windows ne sont pas affectés.

Le correctif met à jour le binaire bpjava vulnérable sur le système cible auquel la console d'interface utilisateur d'administration Java se connecte.

Pour plus d'informations sur le fichier auth.conf, consultez : https://www.veritas.com/content/support/fr_FR/doc/33932995-155681891-0/v41641695-155681891

Questions

Pour toute question ou tout problème concernant cet avis, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)

Remerciements

Veritas tient à remercier l'équipe de back-up Nordea d'avoir signalé ce problème.

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION SONT SUSCEPTIBLES D'ÊTRE MODIFIÉES SANS PRÉAVIS. TOUTES LES INDICATIONS RELATIVES À DE FUTURES ÉVOLUTIONS PRODUITS SONT PRÉLIMINAIRES, ET LES DATES DE LANCEMENT SONT PROVISOIRES ET SUSCEPTIBLES DE CHANGER. LES VERSIONS FUTURES DU PRODUITS OU LES MODIFICATIONS PRÉVUES DE CARACTÉRISTIQUES OU DE FONCTIONNALITÉS SONT EN ÉVALUATION PERMANENTE PAR VERITAS, ET SELON LES RÉSULTATS DE CES ÉVALUATIONS, ELLES PEUVENT NE PAS ÊTRE IMPLÉMENTÉES. ELLES NE DOIVENT DONC EN AUCUN CAS ÊTRE CONSIDÉRÉES COMME DES ENGAGEMENTS FERMES DE LA PART DE VERITAS ET NE DOIVENT PS INFLUENCER UNE DÉCISION.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054