VTS22-011

NetBackup 서버에 영향을 미치는 보안 권고를 위한 핫픽스

리비전 내역

  • 1.0: 2022년 9월 말 – 최초 공개 릴리스

요약

베리타스는 NetBackup 주 서버에 영향을 미치는 취약점을 해결했습니다.

문제

문제 #1: SQL 인젝션

NetBackup 주 서버는 NBFSMCLIENT 서비스에 영향을 미치는 SQL 인젝션 공격에 취약합니다.

  • CVE ID: CVE-2022-42302
  • 심각도: 심각
  • CVSS v3.1 기본 점수: 9.0(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
  • 영향받는 구성 요소: 주 서버
  • 영향받는 버전: 10.0 이하 버전
  • 권장 작업:
    • NetBackup 주 서버 및 미디어 서버: NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0으로 업그레이드하고 적합한 핫픽스를 적용하거나 10.0.0.1로 업그레이드하십시오.
    • NetBackup 클라이언트: 영향을 받지 않습니다. 조치가 필요 없습니다.
    • NetBackup Appliance: 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0으로 업그레이드하고 적합한 핫픽스를 적용하거나 5.0.0.1 MR1으로 업그레이드하십시오.
    • Flex Appliance: Flex Appliance의 NetBackup 컨테이너 버전에 해당하는 NetBackup 핫픽스를 적용하십시오.
    • Flex Scale: 베리타스 기술 지원에 문의하고 기술 자료 ID 100053006을 참조하여 수정 사항을 적용하십시오.

문제 #2: SQL 인젝션

NetBackup 주 서버는 이 권고의 문제 #1을 활용하여 NBFSMCLIENT 서비스에 영향을 미치는 2차 SQL 인젝션 공격에 취약합니다.

  • CVE ID: CVE-2022-42303
  • 심각도: 높음
  • CVSS v3.1 기본 점수: 8.0(AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • 영향받는 구성 요소: 주 서버
  • 영향받는 버전: 10.0 이하 버전
  • 권장 작업:
    • NetBackup 주 서버 및 미디어 서버: NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0으로 업그레이드하고 적합한 핫픽스를 적용하거나 10.0.0.1로 업그레이드하십시오.
    • NetBackup 클라이언트: 영향을 받지 않습니다. 조치가 필요 없습니다.
    • NetBackup Appliance: 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0으로 업그레이드하고 적합한 핫픽스를 적용하거나 5.0.0.1 MR1으로 업그레이드하십시오.
    • Flex Appliance: Flex Appliance의 NetBackup 컨테이너 버전에 해당하는 NetBackup 핫픽스를 적용하십시오.
    • Flex Scale: 베리타스 기술 지원에 문의하고 기술 자료 ID 100053006을 참조하여 수정 사항을 적용하십시오.

문제 #3: SQL 인젝션

NetBackup 주 서버는 idm, nbars, SLP 관리자 코드에 영향을 미치는 SQL 인젝션 공격에 취약합니다.

  • CVE ID: CVE-2022-42304
  • 심각도: 높음
  • CVSS v3.1 기본 점수: 8.0(AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • 영향받는 구성 요소: 주 서버
  • 영향받는 버전: 10.0 이하 버전
  • 권장 작업:
    • NetBackup 주 서버 및 미디어 서버: NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0으로 업그레이드하고 적합한 핫픽스를 적용하거나 10.0.0.1로 업그레이드하십시오.
    • NetBackup 클라이언트: 영향을 받지 않습니다. 조치가 필요 없습니다.
    • NetBackup Appliance: 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0으로 업그레이드하고 적합한 핫픽스를 적용하거나 5.0.0.1 MR1으로 업그레이드하십시오.
    • Flex Appliance: Flex Appliance의 NetBackup 컨테이너 버전에 해당하는 NetBackup 핫픽스를 적용하십시오.
    • Flex Scale: 베리타스 기술 지원에 문의하고 기술 자료 ID 100053006을 참조하여 수정 사항을 적용하십시오.

참고

이 보안 권고 VTS22-011은 이전에 릴리스된 VTS22-004에서 식별된 문제도 해결합니다. VTS22-004를 아직 적용하지 않은 경우에는 먼저 적용할 필요가 없습니다. VTS22-004를 이미 적용한 경우에는 그 위에 안전하게 적용할 수 있습니다. 

질문

이 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR)에 문의하시기 바랍니다.

감사의 말

베리타스는 이러한 문제의 대부분에 대해 알려 주신  Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet, Jean-Romain Garnier 등 Airbus 보안 팀원분들께 감사드립니다.

면책 조항

이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다. Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054