개정 내역

• 1.0: 2023년 5월 2일: 초기 버전
• 1.1: 2023년 5월 19일: CVE ID 추가
• 1.2: 2023년 6월 17일: 문제 #2 SQL 인젝션 설명 업데이트

요약

베리타스는 아래 설명된 대로 Veritas InfoScale Operations Manager(VIOM)에서 보안 취약점을 발견했습니다.

문제 #1: 임의의 명령 실행

VIOM 웹 애플리케이션이 사용자가 제공한 데이터를 검증하지 않으며, 이러한 데이터를 애플리케이션이 사용하는 OS 명령 및 내부 바이너리에 추가합니다. 루트/관리자 수준 권한이 있는 공격자는 이 취약점을 이용하여 서버에 저장된 민감한 데이터를 읽고, 데이터 또는 서버 구성을 수정하고, 데이터 또는 애플리케이션 구성을 삭제할 수 있습니다.

• CVE ID: CVE-2023-32568
• 심각도: 높음
• CVSS v3.1 기본 점수: 7.2( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
• CWE-78: OS 명령에 사용된 특수 요소의 부적절한 무력화('OS 명령 인젝션')

문제 #2: SQL 인젝션

InfoScale VIOM 웹 애플리케이션의 일부 영역이 SQL 인젝션에 취약합니다. 이로 인해 공격자가 백엔드 데이터베이스에 임의의 SQL 명령을 제출하여 데이터베이스에 저장된 민감한 데이터를 생성하고, 읽고, 업데이트하고, 삭제할 수 있습니다. 취약점을 악용하려면 유효한 인증 정보를 사용하여 애플리케이션에 액세스해야 합니다.

• CVE ID: CVE-2023-32569
• 심각도: 높음
• CVSS v3.1 기본 점수: 7.2( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
• CWE-89: SQL 명령에 사용된 특수 요소의 부적절한 무력화('SQL 인젝션')

영향을 받는 버전

Veritas InfoScale Operations Manager(VIOM) 7.0, 7.1, 7.2, 7.3, 7.3.1, 7.4, 7.4.2, 8.0 버전. 지원되지 않는 이전 버전도 영향을 받을 수 있습니다.

조치

현재 유지 보수 계약이 적용되는 고객은 사용하는 Veritas InfoScale Operations Manager(VIOM) 버전에 사용할 수 있는 패치를 적용해야 합니다.

• 7.4.2 GA 설치/7.4.2 GA로 업그레이드하고 7.4.2.800 업데이트 적용 또는
• 8.0 GA 설치/8.0 GA로 업그레이드하고 8.0.410 업데이트 적용

이용 가능한 업데이트는 베리타스 다운로드 센터 https://www.veritas.com/support/ko_KR/downloads 를 참조하십시오.

질문

이러한 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원 (https://www.veritas.com/support/ko_KR) 에 문의하시기 바랍니다.

면책 조항

THE SECURITY ADVISORY IS PROVIDED "AS IS" AND ALL EXPRESS OR IMPLIED CONDITIONS, REPRESENTATIONS AND WARRANTIES, INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE OR NON-INFRINGEMENT, ARE DISCLAIMED, EXCEPT TO THE EXTENT THAT SUCH DISCLAIMERS ARE HELD TO BE LEGALLY INVALID. Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054