VTS22-012

NetBackup Server/Client に影響するセキュリティアドバイザリのホットフィックス

リビジョン履歴

  • 1.0: 2022 年 9 月下旬 - 初回公開

概要

ベリタスは、NetBackup プライマリサーバーおよびメディアサーバーと Client に影響を与える脆弱性に対応しました。

問題

問題 1: パストラバーサルの脆弱性

NetBackup プライマリサーバーは、DiscoveryService サービスを介したパストラバーサル攻撃に対して脆弱です。

  • CVE ID: CVE-2022-42305
  • 重大度: 中
  • CVSS v3.1 基本スコア: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • 影響を受けるコンポーネント: プライマリサーバー (ただし、修正はプライマリサーバー、メディアサーバー、および Client に適用)。下記の対処方法を参照してください。
  • 影響を受けるバージョン: 10.0.0.1 およびそれ以前
  • 対処方法:
    • NetBackup プライマリサーバー、メディアサーバー、Client: 8.3.0.2、9.0.0.1、9.1.0.1、または 10.0.0.1 にアップグレードし、適切なホットフィックスを適用してください。
    • NetBackup アプライアンス: 3.3.0.2、4.0.0.1、4.1.0.1、または 5.0.0.1 MR1 のいずれかのメンテナンスリリース (MR) にアップグレードし、適切なホットフィックスを適用してください。Client 用のホットフィックスは適用できません。
    • Flex アプライアンス: Flex アプライアンス上の NetBackup コンテナのバージョンに対応する NetBackup のホットフィックスを適用してください。Client 用のホットフィックスは適用できません。
    • Flex Scale: ベリタステクニカルサポート に連絡し、ナレッジベースの記事 ID 100053006 を参照して修正を入手してください。

問題 2: XML 外部実体参照インジェクションの脆弱性

NetBackup プライマリサーバーは、DiscoveryService サービスを介した XML 外部実体参照 (XXE) インジェクション攻撃に対して脆弱です。

  • CVE ID: CVE-2022-42307
  • 重大度: 中
  • CVSS v3.1 基本スコア: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • 影響を受けるコンポーネント: プライマリサーバー (ただし、修正はプライマリサーバー、メディアサーバー、および Client に適用)。下記の対処方法を参照してください。
  • 影響を受けるバージョン: 10.0.0.1 およびそれ以前
  • 対処方法:
    • NetBackup プライマリサーバー、メディアサーバー、Client: 8.3.0.2、9.0.0.1、9.1.0.1、または 10.0.0.1 にアップグレードし、適切なホットフィックスを適用してください。
    • NetBackup アプライアンス: 3.3.0.2、4.0.0.1、4.1.0.1、または 5.0.0.1 MR1 のいずれかのメンテナンスリリース (MR) にアップグレードし、適切なホットフィックスを適用してください。Client 用のホットフィックスは適用できません。
    • Flex アプライアンス: Flex アプライアンス上の NetBackup コンテナのバージョンに対応する NetBackup のホットフィックスを適用してください。Client 用のホットフィックスは適用できません。
    • Flex Scale: ベリタステクニカルサポート に連絡し、ナレッジベースの記事 ID 100053006 を参照して修正を入手してください。

問題 3: サービス拒否 (DoS) の脆弱性

NetBackup プライマリサーバーは、DiscoveryService サービスを介したサービス拒否 (DoS) 攻撃に対して脆弱です。

  • CVE ID: CVE-2022-42299
  • 重大度: 中
  • CVSS v3.1 基本スコア: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  • 影響を受けるコンポーネント: プライマリサーバー (ただし、修正はプライマリサーバー、メディアサーバー、および Client に適用)。下記の対処方法を参照してください。
  • 影響を受けるバージョン: 10.0.0.1 およびそれ以前
  • 対処方法:
    • NetBackup プライマリサーバー、メディアサーバー、Client: 8.3.0.2、9.0.0.1、9.1.0.1、または 10.0.0.1 にアップグレードし、適切なホットフィックスを適用してください。
    • NetBackup アプライアンス: 3.3.0.2、4.0.0.1、4.1.0.1、または 5.0.0.1 MR1 のいずれかのメンテナンスリリース (MR) にアップグレードし、適切なホットフィックスを適用してください。Client 用のホットフィックスは適用できません。
    • Flex アプライアンス: Flex アプライアンス上の NetBackup コンテナのバージョンに対応する NetBackup のホットフィックスを適用してください。Client 用のホットフィックスは適用できません。
    • Flex Scale: ベリタステクニカルサポート に連絡し、ナレッジベースの記事 ID 100053006 を参照して修正を入手してください。

注意

本セキュリティアドバイザリ VTS22-012 は、以前に公開された VTS22-008 で特定されている問題にも対応しています。まだ VTS22-008 を適用していない場合、VTS22-008 を最初に適用する必要はありません。VTS22-012 だけを適用してください。すでに VTS22-008 を適用済みの場合は、その状態から VTS22-012 を安全に適用することができます。

お問い合わせ

本アドバイザリに関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP)にお問い合わせください。

謝辞

これらの問題を弊社にご報告いただいた Airbus Security Team の皆様 (Mouad Abouhali、Benoît Camredon、Nicholas Devillers、Anaïs Gantet、および Jean-Romain Garnier の各氏) に感謝いたします。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。製品の計画に関する将来的な記述は仮のものであり、将来のリリース日はすべて暫定であり、変更の対象になります。今後の製品のリリースや予定されている機能修正についてはベリタスが継続的な評価を行っており、実装されるかどうかは確定していません。したがって、購入の意思決定の理由にすべきではありません。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054