VTS23-005

Notifica XStream CISA

Cronologia delle revisioni

  • 1.0: 30 marzo 2023 – Rilascio pubblico iniziale
  • 1.1: 4 aprile 2023 – Aggiunto un chiarimento sui consigli di upgrade. 

Veritas è a conoscenza della vulnerabilità a gravità elevata in XStream aggiunta al catalogo CISA delle vulnerabilità sfruttate note in data 10 marzo 2023 (CVE-2021-39144). Veritas ha determinato che NetBackup, NetBackup Appliance, NetBackup Access Appliance e NetBackup Flex Scale contengono il componente XStream. NetBackup Flex Appliance non contiene il componente XStream. Continuare a leggere per conoscere impatto e azioni:

NetBackup

  • Nessuna versione di NetBackup è interessata da questo problema.
  • Le versioni precedenti alla 10.0 includono una versione vulnerabile di XStream ma non possono essere oggetto di attacchi.
    • Per ridurre gli avvisi degli scanner di vulnerabilità, effettuare l'upgrade alla versione 10.0 o successiva.
  • Le versioni 10.0 e successive non includono una versione vulnerabile di XStream
    • Nessuna azione richiesta.

NetBackup Appliance

  • Nessuna versione di NetBackup Appliance è interessata da questo problema.
  • Solo la versione 3.3.0.2 contiene una versione vulnerabile di XStream e non può essere oggetto di attacchi.
  • Per ridurre gli avvisi degli scanner di vulnerabilità, effettuare l'upgrade alla versione 4.x o 5.x.

NetBackup Access Appliance

  • Nessuna versione di NetBackup Access Appliance è interessata da questo problema.
  • Solo la versione 7.4.2.400 contiene una versione vulnerabile di XStream e non può essere oggetto di attacchi.
  • Per ridurre gli avvisi degli scanner di vulnerabilità, effettuare l'upgrade alla versione 7.4.3 o 8.x

NetBackup Flex Scale

  • Nessuna versione di NetBackup Flex Scale è interessata da questo problema.
  • La versione 2.1 contiene una versione vulnerabile di XStream e non può essere oggetto di attacchi.
  • Per ridurre gli avvisi degli scanner di vulnerabilità, effettuare l'upgrade alla versione 3.0

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.