VTS22-011

HotFix per Security Advisory relativo ai server NetBackup

Cronologia delle revisioni

  • 1.0: fine settembre 2022 – Rilascio pubblico iniziale

Riepilogo

Veritas ha risolto due vulnerabilità relative ai server NetBackup primari.

Problemi

Problema 1: SQL injection

Il server NetBackup primario è vulnerabile a un attacco SQL injection che influisce sul servizio NBFSMCLIENT.

  • ID CVE: CVE-2022-42302
  • Gravità: critica
  • Punteggio base CVSS v3.1: 9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
  • Componenti interessati: server primario
  • Versioni interessate: 10.0 e precedenti
  • Azioni consigliate:
    • Server NetBackup primario e dei contenuti multimediali: eseguire l'upgrade a NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1 o 10.0 e applicare l'HotFix appropriato OPPURE eseguire l'upgrade alla versione 10.0.0.1
    • Client NetBackup: non interessati. Nessuna azione richiesta.
    • Appliance NetBackup: eseguire l'upgrade alla versione 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1 o 5.0 e applicare l'HotFix appropriato oppure eseguire l'upgrade a MR1 5.0.0.1.
    • Appliance Flex: applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup sulle appliance Flex
    • Flex Scale: contattare il supporto tecnico di Veritas e fare riferimento all'articolo della Knowledge Base ID 100053006 per la correzione.

Problema 2: SQL injection

Il server NetBackup primario è vulnerabile a un attacco SQL injection di secondo ordine che influisce sul servizio NBFSMCLIENT sfruttando il problema 1 nell'advisory.

  • ID CVE: CVE-2022-42303
  • Gravità: alta
  • Punteggio base CVSS v3.1: 8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • Componenti interessati: server primario
  • Versioni interessate: 10.0 e precedenti
  • Azioni consigliate:
    • Server NetBackup primario e dei contenuti multimediali: eseguire l'upgrade a NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1 o 10.0 e applicare l'HotFix appropriato OPPURE eseguire l'upgrade alla versione 10.0.0.1
    • Client NetBackup: non interessati. Nessuna azione richiesta.
    • Appliance NetBackup: eseguire l'upgrade alla versione 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1 o 5.0 e applicare l'HotFix appropriato OPPURE eseguire l'upgrade a MR1 5.0.0.1.
    • Appliance Flex: applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup sulle appliance Flex
    • Flex Scale: contattare il supporto tecnico di Veritas e fare riferimento all'articolo della Knowledge Base ID 100053006 per la correzione.

Problema 3: SQL injection

Il server NetBackup primario è vulnerabile a un attacco SQL injection che influisce sul codice idm, nbars, e SLP manager.

  • ID CVE: CVE-2022-42304
  • Gravità: alta
  • Punteggio base CVSS v3.1: 8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • Componenti interessati: server primario
  • Versioni interessate: 10.0 e precedenti
  • Azioni consigliate:
    • Server NetBackup primario e dei contenuti multimediali: eseguire l'upgrade a NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1 o 10.0 e applicare l'HotFix appropriato OPPURE eseguire l'upgrade alla versione 10.0.0.1
    • Client NetBackup: non interessati. Nessuna azione richiesta.
    • Appliance NetBackup: eseguire l'upgrade alla versione 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1 o 5.0 e applicare l'HotFix appropriato OPPURE eseguire l'upgrade a MR1 5.0.0.1.
    • Appliance Flex: applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup sulle appliance Flex
    • Flex Scale: contattare il supporto tecnico di Veritas e fare riferimento all'articolo della Knowledge Base ID 100053006 per la correzione.

Note

Questo Security Advisory, VTS22-011, risolve anche i problemi identificati in VTS22-004, rilasciato in precedenza. SeVTS22-004 non è stato ancora applicato, non è necessario applicarlo prima. Se VTS22-004 è già stato applicato, è possibile applicarvi in sicurezza VTS22-011 in aggiunta.

Domande

Per domande o problemi relativi a questo advisory, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT)

Riconoscimenti

Veritas desidera ringraziare i membri del team Airbus Security elencati di seguito per aver segnalato i problemi presenti in questo avviso:  Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet e Jean-Romain Garnier.

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054