VTS22-019

Correctif d'un avis de sécurité ayant un impact sur NetBackup Flex Scale et l'appliance Access.

Historique des révisions

  • 1.0: 30 novembre 2022 – première version publique
  • 1.1: 8 december 2022 – ID de CVE ajouté

Résumé

Veritas a corrigé les vulnérabilités ayant un impact sur NetBackup Flex Scale et l'appliance Access

Problèmes

Problème 1 : Exécution de commande distante non authentifiée

L'appliance Access et NetBackup Flex Scale sont vulnérables à une exécution de commande distante non authentifiée.

  • ID de CVE :CVE-2022-46414
  • Gravité : critique
  • Score de base v3.1 : 9,8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
  • Version et produits affectés :
    • NetBackup Flex Scale 3.0 et versions antérieures
    • Appliance Access 8.0.100 et versions antérieures
  • Action recommandée :
    • NetBackup Flex Scale : mise à niveau vers la version 3.0 et application du correctif
    • Appliance Access : mise à niveau vers la version 7.4.3.300 ou 8.0.100 et application du correctif correspondant

Problème 2 : Exécution de commande distante authentifiée

L'appliance Access et NetBackup Flex Scale sont vulnérables à une exécution de commande distante authentifiée

  • ID de CVE : CVE-2022-46413
  • Gravité : élevée
  • Score de base CVSS v3.1 : 8,8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Version et produits affectés :
    • NetBackup Flex Scale 3.0 et versions antérieures
    • Appliance Access 8.0.100 et versions antérieures
  • Action recommandée :
    • NetBackup Flex Scale : mise à niveau vers la version 3.0 et application du correctif
    • Appliance Access : mise à niveau vers la version 7.4.3.300 ou 8.0.100 et application du correctif correspondant

Problème 3 : Persistance des informations d'identification par défaut pour l'utilisateur principal

Un mot de passe par défaut persiste après l'installation et peut être découvert et utilisé pour élever les privilèges.

  • ID de CVE : CVE-2022-46411
  • Gravité : élevée
  • Score de base CVSS v3.1 : 8,8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Version et produits affectés :
    • NetBackup Flex Scale 3.0 et versions antérieures
    • Appliance Access 8.0.100 et versions antérieures
  • Action recommandée :
    • NetBackup Flex Scale : mise à niveau vers la version 3.0 et application du correctif
    • Appliance Access : mise à niveau vers la version 7.4.3.300 ou 8.0.100 et application du correctif correspondant

Problème 4 : Le shell restreint permet un échappement vers le shell normal

Un utilisateur non privilégié peut échapper à un shell restreint et exécuter des commandes privilégiées.

  • ID de CVE : CVE-2022-46412
  • Gravité : élevée
  • Score de base CVSS v3.1 : 8,8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Version et produits affectés :
    • NetBackup Flex Scale 3.0 et versions antérieures
  • Action recommandée :
    • NetBackup Flex Scale : mise à niveau vers la version 3.0 et application du correctif

Problème 5 : Élévation des privilèges de shell

Un attaquant disposant de privilèges non-racine peut obtenir des privilèges racine en utilisant des commandes spécifiques.

  • ID de CVE : CVE-2022-46410
  • Gravité : élevée
  • Score de base CVSS v3.1 : 8,8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Version et produits affectés :
    • NetBackup Flex Scale 3.0 et versions antérieures
  • Action recommandée :
    • NetBackup Flex Scale : mise à niveau vers la version 3.0 et application du correctif

Remarques

Pour télécharger le correctif approprié pour NetBackup Flex Scale ou l'appliance Access, veuillez consulter la page de téléchargement du support Veritas.

Questions

Pour toute question ou tout problème concernant cette vulnérabilité, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION SONT SUSCEPTIBLES D'ÊTRE MODIFIÉES SANS PRÉAVIS. TOUTES LES INDICATIONS RELATIVES À DE FUTURES ÉVOLUTIONS PRODUITS SONT PRÉLIMINAIRES, ET LES DATES DE LANCEMENT SONT PROVISOIRES ET SUSCEPTIBLES DE CHANGER. LES VERSIONS FUTURES DU PRODUITS OU LES MODIFICATIONS PRÉVUES DE CARACTÉRISTIQUES OU DE FONCTIONNALITÉS SONT EN ÉVALUATION PERMANENTE PAR VERITAS, ET SELON LES RÉSULTATS DE CES ÉVALUATIONS, ELLES PEUVENT NE PAS ÊTRE IMPLÉMENTÉES. ELLES NE DOIVENT DONC EN AUCUN CAS ÊTRE CONSIDÉRÉES COMME DES ENGAGEMENTS FERMES DE LA PART DE VERITAS ET NE DOIVENT PS INFLUENCER UNE DÉCISION.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054