Avis de sécurité concernant l'exécution de commandes par Veritas InfoScale Operations Manager (VIOM) via un téléchargement de fichiers non sécurisé

VTS23-009

Avis de sécurité concernant l'exécution de commandes par Veritas InfoScale Operations Manager (VIOM) via un téléchargement de fichiers non sécurisé

Historique des révisions

1.0 : 12 juillet 2023 : version initiale
1.1 : 14 juillet 2023 : mise à jour de la recommandation de remédiation
1.2 : 20 juillet 2023 : Id. de CVE agregado

Résumé

Une vulnérabilité a été découverte dans l'application web Veritas InfoScale Operations Manager (VIOM) XPRTLD.

Problème

L'application web VIOM XPRTLD permet à un attaquant authentifié de télécharger tous types de fichiers sur le serveur. Cet attaquant authentifié peut alors exécuter le fichier malveillant pour exécuter des commandes sur le serveur distant.

ID CVE : CVE-2023-38404
Gravité : élevée
Score de base CVSS v3.1 : 7,2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
CWE-434 : téléchargement illimité de fichiers de type dangereux

Conditions préalables

Un attaquant doit disposer d'un accès administrateur à l'application web VIOM XPRTLD.

Versions affectées

Versions 7.0, 7.1, 7.2, 7.3, 7.3.1, 7.4, 7.4.2, 8.0 de Veritas InfoScale Operations Manager (VIOM). Les versions antérieures non prises en charge peuvent également être affectées.

Remédiation

Les clients liés par un contrat de maintenance en cours doivent mettre à niveau leur environnement VIOM conformément aux recommandations ci-dessous :

Mettrez à niveau Veritas InfoScale Operations Manager (VIOM) Management Server vers une version minimale 8.0.0.410 ou 8.0.2.
Mettre à niveau les agents VIOM vers la version minimale 7.4.2.810, 8.0.0.410 ou 8.0.2.0 en fonction de la matrice de prise en charge.

Consultez le Centre de téléchargements Veritas pour découvrir les mises à jour disponibles : https://www.veritas.com/support/fr_FR/downloads

Questions

Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054