リビジョン履歴

• 1.0: 2023 年 3 月 20 日: 初回バージョン
• 1.1: 2023 年 3 月 30 日: CVE ID を追加

概要

Veritas NetBackup IT Analytics のアプリケーションアップグレードプロセスに署名されていないファイルが含まれていたため、それを悪用され、ユーザーが非正規のコンポーネントをインストールしてしまう恐れがあります。

問題

• CVE ID: CVE-2023-28818
• 重大度: 中
• CVSS v3.1 基本スコア 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

悪質な攻撃者が NetBackup IT Analytics ポータルサーバーに不正な Collector 実行可能ファイル (aptare.jar、upgrademanager.zip) をインストールすることで、それらがコレクタ上にダウンロードされインストールされてしまう恐れがあります。(CWE-347: 暗号化署名の不適切な検証)

前提条件

悪質な攻撃者が非正規のコンポーネントをインストールするためには、NetBackup IT Analytics ポータルサーバーへの管理者/root ロールのアクセス権が必要です。

影響を受けるバージョン

Veritas NetBackup IT Analytics バージョン 11.1 および 11.0。それ以前のすでにサポート対象外の APTARE IT Analytics のバージョンも影響を受ける可能性があります。

修復策

現在メンテナンス契約をお持ちのお客様は、NetBackup IT Analytics バージョン 11.2.0 に更新してください。

利用可能な更新については、ベリタスダウンロードセンター https://www.veritas.com/support/ja_JP/downloads を参照してください。

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054