VTS22-010
NetBackup 클라이언트 및 서버에 영향을 미치는 보안 권고를 위한 핫픽스
리비전 내역
- 1.0: 2022년 9월 말 – 최초 공개 릴리스
- 1.1: 2023년 3월 – 문제 #3 추가됨
요약
베리타스는 NetBackup 서버 및 클라이언트에 영향을 미치는 취약점을 해결했습니다.
문제
문제 #1: 임의 파일 삭제
로컬 액세스 권한이 있는 공격자가 pbx_exchange 등록 코드에서 경로 조작을 통해 임의 파일을 삭제할 수 있습니다.
- CVE ID: CVE-2022-42308
- 심각도: 심각
- CVSS v3.1 기본 점수: 9.0(AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H)
- 영향받는 버전: 8.2 이하 버전
- 권장 작업:
- NetBackup 서버: 8.2로 업그레이드하고 적합한 핫픽스를 적용하거나 8.3.x 이상으로 업그레이드하십시오.
- NetBackup 클라이언트: 8.2 또는 8.1.2로 업그레이드하고 적합한 핫픽스를 적용하거나 8.3.x 이상으로 업그레이드하십시오.
- NetBackup Appliance: 3.2로 업그레이드하고 적합한 핫픽스를 적용하거나 3.3.x 이상으로 업그레이드하십시오.
- Flex Appliance: Flex Appliance의 NetBackup 컨테이너 버전에 해당하는 NetBackup 핫픽스를 적용하십시오.
- Flex Scale: 영향을 받지 않습니다.
문제 #2: 서비스 거부
공격자가 로컬 액세스 권한을 얻은 경우, 등록 도중에 특별 제작된 패킷을 pbx_ex change에 보내고 null 포인터 예외를 발생시키면서 pbx_exchange 프로세스에 효과적인 충돌을 야기할 수 있습니다.
- CVE ID: CVE-2022-42306
- 심각도: 중간
- CVSS v3.1 기본 점수: 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H)
- 영향받는 버전: 8.2 이하 버전
- 권장 작업:
- NetBackup 서버: 8.2로 업그레이드하고 적합한 핫픽스를 적용하거나 8.3.x 이상으로 업그레이드하십시오.
- NetBackup 클라이언트: 8.2 또는 8.1.2로 업그레이드하고 적합한 핫픽스를 적용하거나 8.3.x 이상으로 업그레이드하십시오.
- NetBackup Appliance: 3.2로 업그레이드하고 적합한 핫픽스를 적용하거나 3.3.x 이상으로 업그레이드하십시오.
- Flex Appliance: Flex Appliance의 NetBackup 컨테이너 버전에 해당하는 NetBackup 핫픽스를 적용하십시오.
- Flex Scale: 영향을 받지 않습니다.
참고
이 보안 권고 VTS22-010은 이전에 릴리스된 VTS22-008에서 식별된 문제도 해결합니다. VTS22-008을 아직 적용하지 않은 경우에는 이 권고를 설치하기 전에 먼저 적용할 필요 없습니다. VTS22-008을 이미 적용한 경우에는 그 위에 안전하게 적용할 수 있습니다.
질문
이 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR)에 문의하시기 바랍니다.
감사의 말
베리타스는 문제 1 및 2에 대해 알려 주신
Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet, Jean-Romain Garnier 등 Airbus 보안 팀원분들께 감사드립니다.
면책 조항
이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다. Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054