VTS23-004
Avis de sécurité affectant NetBackup Appliance
Historique des révisions
- 1.0 : 23 mars 2023 – première version publique
Résumé
Veritas a corrigé une vulnérabilité affectant NetBackup Appliance.
Problème
Échappement de shell restreint
Il est possible de contourner les restrictions d'exécution de commande sur un hôte affecté afin d'exécuter des commandes de système d'exploitation arbitraires via SSH.
- ID de CVE : CVE-2023-37237
- Gravité : élevée
- Score de base CVSS v3.1 : 7,2 (AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H)
- Version et produits affectés :
- NetBackup Appliance : 4.1.0.1 MR2 et versions antérieures.
- Action recommandée :
- Mettre à jour NetBackup Appliance vers la version 4.1.0.1 MR3 ou une version ultérieure.
Questions
Pour toute question ou tout problème concernant cette vulnérabilité, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)
Remerciements
Veritas souhaite remercier Ben Leonard-Lagarde et Freddie Sibley-Calder de Modux pour avoir signalé ce problème.
Clause de non-responsabilité
LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION SONT SUSCEPTIBLES D'ÊTRE MODIFIÉES SANS PRÉAVIS. TOUTES LES INDICATIONS RELATIVES À DE FUTURES ÉVOLUTIONS PRODUITS SONT PRÉLIMINAIRES, ET LES DATES DE LANCEMENT SONT PROVISOIRES ET SUSCEPTIBLES DE CHANGER. LES VERSIONS FUTURES DU PRODUITS OU LES MODIFICATIONS PRÉVUES DE CARACTÉRISTIQUES OU DE FONCTIONNALITÉS SONT EN ÉVALUATION PERMANENTE PAR VERITAS, ET SELON LES RÉSULTATS DE CES ÉVALUATIONS, ELLES PEUVENT NE PAS ÊTRE IMPLÉMENTÉES. ELLES NE DOIVENT DONC EN AUCUN CAS ÊTRE CONSIDÉRÉES COMME DES ENGAGEMENTS FERMES DE LA PART DE VERITAS ET NE DOIVENT PS INFLUENCER UNE DÉCISION.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054