HotFix per Security Advisory relativo a NetBackup Client

Cronologia delle revisioni

• 1.0: 18 luglio 2022, versione iniziale

Riepilogo

Veritas ha risolto due vulnerabilità relative a NetBackup Client.

Problemi

Problema 1: Esecuzione di un comando arbitrario

NetBackup Client consente l'esecuzione di un comando arbitrario da qualsiasi host remoto che abbia accesso a una chiave di certificato/privata NetBackup host-id valida dello stesso dominio.

• CVE ID: CVE-2022-36956
• Gravità: critica
• Punteggio base CVSS v3.1: 9.0 (AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)
• Versioni interessate: 9.0.x, 9.1.x
• Azioni consigliate:
  • Aggiornare NBU Client alla versione 10.0, hotfix non necessario, oppure
  • Aggiornare NBU Client alla versione 9.1.0.1 e applicare VTS22-008 - HotFix per Security Advisory relativo a NetBackup 9.1.0.1 Client (Etrack 4066508) oppure
  • Oppure aggiornare NBU Client alla versione 9.0.0.1 e applicare VTS22-008 - HotFix per Security Advisory relativo a NetBackup 9.0.0.1 Client (Etrack 4067247) oppure
  • Per NBU Client versioni 8.3.x e precedenti - Non vulnerabile - Non applicabile
    

Problema 2: Escalation di privilegi

Un malintenzionato con accesso locale senza privilegi a un NetBackup Client potrebbe inviare comandi specifici per ottenere l'escalation dei propri privilegi.

• CVE ID: CVE-2022-36955
• Gravità: alta
• Punteggio base CVSS v3.1: 7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
• Versioni interessate: 9.1.x, 9.0.x, 8.3.x, 8.2 e precedenti
• Azioni consigliate:
  • Aggiornare NBU Client alla versione 10.0, hotfix non necessario, oppure
  • Aggiornare NBU Client alla versione 9.1.0.1 e applicare VTS22-008 - HotFix per Security Advisory relativo a NetBackup 9.1.0.1 Client (Etrack 4066508) oppure
  • Aggiornare NBU Client alla versione 9.0.0.1 e applicare VTS22-008 - HotFix per Security Advisory relativo a NetBackup 9.0.0.1 Client (Etrack 4067247) oppure
  • Aggiornare NBU Client alla versione 8.3.0.2 e applicare VTS22-008 - HotFix per Security Advisory relativo a NetBackup 8.3.0.2 Client (Etrack 4066512) oppure
  • Per NBU Client versione 8.2 applicare VTS22-008 - HotFix per Security Advisory relativo a NetBackup 8.2 Client (Etrack 4068828)
  • Per NBU Client versione 8.1.2 applicare VTS22-008 - HotFix per Security Advisory relativo a NetBackup 8.1.2 Client (Etrack-4071637)

Note

Le correzioni per Primary e Media Server correlate per queste vulnerabilità sono già state effettuate nella parte Security Advisory per VTS22-004.

Riconoscimenti

Veritas desidera ringraziare i membri del team Airbus Security elencati di seguito per aver segnalato il problema 2: Mouad Abouhali, Benoit Camredon, Nicholas Devillers, Anais Gantet e Jean-Romain Garnier.

Domande

Per domande o problemi relativi a questa vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support)

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC 2625

Augustine Drive

Santa Clara, CA 95054