VTS23-007
Veritas InfoScale Operations Manager (VIOM)
Historique des révisions
- 1.0 : 02 mai 2023 : version initiale
- 1.1 : 19 mai 2023 : ID de CVE ajouté
- 1.2 : 17 juin 2023 : mise à jour de la description du problème 2, injonction SQL
Résumé
Veritas a identifié des failles de sécurité liées à Veritas InfoScale Operations Manager (VIOM) comme expliqué ci-dessous.
| Problème | Description | Gravité | Versions corrigées |
|---|---|---|---|
| 1 | Exécution de commande arbitraire | Élevée | 7.4.2.800 8.0.410 |
| 2 | Injection SQL | Élevée | 7.4.2.800 8.0.410 |
Problème 1 : exécution de commande arbitraire
L'application Web VIOM ne valide pas les données fournies par l'utilisateur et les ajoute aux commandes du système d'exploitation et aux binaires internes utilisées par l'application. Un attaquant disposant de privilèges de niveau racine/administrateur peut utiliser cette vulnérabilité pour lire les données sensibles stockées sur les serveurs, modifier les données ou la configuration du serveur et supprimer les données ou la configuration de l'application.
- ID CVE: CVE-2023-32568
- Gravité : élevée
- Score de base CVSS v3.1 v3.1 : 7,2 ( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- CWE-78 : neutralisation incorrecte d'éléments spéciaux utilisés dans une commande du système d'exploitation (« injection de commande du système d'exploitation »)
Problème 2 : injection SQL
L'application Web InfoScale VIOM est vulnérable aux injections SQL dans certaines zones de l'application. Cela permet aux attaquants de soumettre des commandes SQL arbitraires sur la base de données back-end pour créer, lire, mettre à jour, supprimer toute donnée sensible stockée dans la base de données. L'exploitation de la vulnérabilité nécessite un accès à l'application avec des informations d'authentification administrateur valides.
- ID CVE: CVE-2023-32569
- Gravité : élevée
- Score de base CVSS v3.1 : 7,2 ( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- CWE-89 : neutralisation incorrecte d'éléments spéciaux utilisés dans une commande SQL (« injection SQL »)
Versions affectées
Versions 7.0, 7.1, 7.2, 7.3, 7.3.1, 7.4, 7.4.2, 8.0 de Veritas InfoScale Operations Manager (VIOM). Les versions antérieures non prises en charge peuvent également être affectées.
Remédiation
Les clients actuellement sous contrat de maintenance doivent appliquer les correctifs disponibles pour leur version de Veritas InfoScale Operations Manager (VIOM) :
- installer la version 7.4.2 GA (ou mettre à niveau vers cette version) et appliquer la mise à niveau 7.4.2.800, ou
- installer la version 8.0 GA (ou mettre à niveau vers cette version) et appliquer la mise à niveau 8.0.410.
Consultez le Centre de téléchargements Veritas pour découvrir les mises à jour disponibles : https://www.veritas.com/support/fr_FR/downloads
Questions
Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)
Clause de non-responsabilité
LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054