VTS23-012
Veritas NetBackup IT Analytics: diverse vulnerabilità nei raccoglitori di dati di Infinidat
Cronologia delle revisioni
- 1.0: 3 agosto 2023: versione iniziale
Riepilogo
Nei file binari necessari per raccogliere dati da Infinidat InfiniBox e Infinidat InfiniGuard sono presenti diverse vulnerabilità originatesi da un software di terzi non aggiornato.
Problema
È stato individuato un numero elevato di CVE nei file binari adapter/adapter.exe usati per raccogliere dati dai prodotti di Infinidat, compresa una vulnerabilità critica in Open SSL (CVE-2016-0799).
- Gravità: critica
- Punteggio base CVSS v3.1: 9.8: (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- CWE-119: restrizione errata delle operazioni entro i limiti di un buffer di memoria
Prerequisiti
Deve essere installato uno dei due raccoglitori di dati di Infinidat.
Versioni interessate
Veritas NetBackup IT Analytics versioni 11.0 , 11.1 e 11.2. Sono interessate anche le versioni precedenti non supportate di APTARE IT Analytics.
Riparazione
Si consiglia ai clienti con un contratto di manutenzione attivo di aggiornare Veritas NetBackup IT Analytics alle versioni 11.1.11, 11.2.04 o successive per rimuovere i file binari. La raccolta dalle apparecchiature di Infinidat verrà interrotta, ma i dati esistenti verranno mantenuti. Quando Infinidat renderà disponibili le versioni aggiornate dei file binari, potrebbe essere necessario aggiornare IT Analytics per ripristinarle.
Cercare nel Veritas Download Center gli aggiornamenti disponibili: https://www.veritas.com/support/it_IT/downloads
Domande
Per domande o problemi relativi a queste vulnerabilità, contattare il Supporto Tecnico Veritas (https://www.veritas.com/support/it_IT).
Dichiarazione di non responsabilità
IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054