VTS22-012

HotFix per Security Advisory relativo a server e client NetBackup

Cronologia delle revisioni

  • 1.0: fine settembre 2022 – Rilascio pubblico iniziale

Riepilogo

Veritas ha risolto due vulnerabilità relative ai server NetBackup primario e dei contenuti multimediali nonché dei client.

Problemi

Problema 1: Path traversal

Il server NetBackup primario è vulnerabile agli attacchi Path traversal tramite il servizio DiscoveryService.

  • ID CVE: CVE-2022-42305
  • Gravità: media
  • Punteggio base CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Componenti interessati: server primario, anche se le correzioni si applicano a server primario, server dei contenuti multimediali e client. Vedere le azioni consigliate di seguito.
  • Versioni interessate: 10.0.0.1 e precedenti
  • Azioni consigliate:
  • Server primario, server dei contenuti multimediali, client NetBackup: eseguire l'upgrade alle versioni 8.3.0.2, 9.0.0.1, 9.1.0.1 o 10.0.0.1 e applicare l'HotFix appropriato.
  • Appliance NetBackup: eseguire l'upgrade a qualsiasi versione di manutenzione MR1 3.3.0.2, 4.0.0.1, 4.1.0.1 o 5.0.0.1 e applicare l'HotFix appropriato. HotFix client non applicabile.
  • Appliance Flex: applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup sulle appliance Flex. HotFix client non applicabile.
  • Flex Scale: contattare il supporto tecnico di Veritas e fare riferimento all'articolo della Knowledge Base ID 100053006 per la correzione.

Problema 2: inserimento XML External Entity

Il server NetBackup primario è vulnerabile agli attacchi di inserimento XML External Entity (XXE) tramite il servizio DiscoveryService.

  • ID CVE: CVE-2022-42307
  • Gravità: media
  • Punteggio base CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Componenti interessati: server primario, anche se le correzioni si applicano a server primario, server dei contenuti multimediali e client. Vedere le azioni consigliate di seguito.
  • Versioni interessate: 10.0.0.1 e precedenti
  • Azioni consigliate:
    • Server primario, server dei contenuti multimediali, client NetBackup: eseguire l'upgrade alle versioni 8.3.0.2, 9.0.0.1, 9.1.0.1 o 10.0.0.1 e applicare l'HotFix appropriato.
    • Appliance NetBackup: eseguire l'upgrade a qualsiasi versione di manutenzione MR1 3.3.0.2, 4.0.0.1, 4.1.0.1 o 5.0.0.1 e applicare l'HotFix appropriato. HotFix client non applicabile.
    • Appliance Flex: applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup sulle appliance Flex. HotFix client non applicabile.
    • Flex Scale: contattare il supporto tecnico di Veritas e fare riferimento all'articolo della Knowledge Base ID 100053006 per la correzione.

Problema 3: Denial of service

Il server NetBackup primario è vulnerabile agli attacchi Denial of service tramite il servizio DiscoveryService.

  • ID CVE: CVE-2022-42299
  • Gravità: media
  • Punteggio base CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  • Componenti interessati: server primario, anche se le correzioni si applicano a server primario, server dei contenuti multimediali e client. Vedere le azioni consigliate di seguito.
  • Versioni interessate: 10.0.0.1 e precedenti
  • Azioni consigliate:
    • Server primario, server dei contenuti multimediali, client NetBackup: eseguire l'upgrade alle versioni 8.3.0.2, 9.0.0.1, 9.1.0.1 o 10.0.0.1 e applicare l'HotFix appropriato.
    • Appliance NetBackup: eseguire l'upgrade a qualsiasi versione di manutenzione MR1 3.3.0.2, 4.0.0.1, 4.1.0.1 o 5.0.0.1 e applicare l'HotFix appropriato. HotFix client non applicabile.
    • Appliance Flex: applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup sulle appliance Flex. HotFix client non applicabile.
    • Flex Scale: contattare il supporto tecnico di Veritas e fare riferimento all'articolo della Knowledge Base ID 100053006 per la correzione.

Note

Questo Security Advisory, VTS22-012, risolve anche i problemi identificati in VTS22-008, rilasciato in precedenza. Se VTS22-008 non è stato ancora applicato, non è necessario applicare prima VTS22-008 ma basta applicare VTS22-012. Se VTS22-008 è già stato applicato, è possibile applicarvi in sicurezza VTS22-012 in aggiunta.

Domande

Per domande o problemi relativi a questo advisory, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT

Riconoscimenti

Veritas desidera ringraziare i membri del team Airbus Security elencati di seguito per aver segnalato i problemi presenti in questo avviso:   Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet e Jean-Romain Garnier.

Disclaimer

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO. QUALSIASI INDICAZIONE DI PIANI PER I PRODOTTI È DA CONSIDERARSI PRELIMINARE E TUTTE LE DATE DI RILASCIO FUTURE SONO PROVVISORIE E SOGGETTE A MODIFICA. QUALSIASI VERSIONE FUTURA DEL PRODOTTO O MODIFICA PIANIFICATA ALLE CAPACITÀ, FUNZIONALITÀ O CARATTERISTICHE DEL PRODOTTO È SOGGETTA ALLA COSTANTE VALUTAZIONE DA PARTE DI VERITAS, PUÒ NON ESSERE IMPLEMENTATA E NON DEVE ESSERE CONSIDERATA COME IMPEGNO DEFINITIVO DA PARTE DI VERITAS NÉ TANTOMENO ESSERE UTILIZZATA COME BASE PER LE DECISIONI.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054