개정 내역

• 1.0: 2023년 10월 11일: 초기 버전
• 1.1: 2023년 10월 20일: 중간 업데이트
• 1.2: 2023년 11월 6일: 중간 업데이트
• 1.3: 2023년 11월 28일: 중간 업데이트
• 1.4: 2023년 12월 5일: 중간 업데이트
• 1.5: 2023년 12월 18일: 중간 업데이트

제품: 아래 상태 참조.

요약

베리타스는 최근 소개된 유틸리티 및 라이브러리의 높은 심각도 취약점(CVE-2023-38545)을 인지하고 있습니다. 모든 베리타스 제품 보안 및 개발 팀은 베리타스 제품의 영향에 대한 평가를 완료하고 있습니다.

CVE-2023-38545 및 CVE-2023-38546의 현재 취약점 상태:

*NetBackup 및 어플라이언스 지침:

Veritas NetBackup은 CVE-2023-38545가 고객에 대한 위험도가 매우 낮다고 간주합니다. 고객은 기존 NetBackup 버전을 계속 사용할 수 있습니다. 아래 취약한 조건을 충족할 수 있다고 우려하는 고객은 NetBackup 10.1.1 이상으로 업그레이드한 다음 적용 가능한 EEB를 설치하여 문제를 처리하는 것이 좋습니다. 

NetBackup의 기본 설정은 socks5h 프로토콜을 사용하지 않습니다.

이 취약점을 악용하기 위해 공격자는 다음을 할 수 있습니다.

1. NetBackup 구성(UNIX의 bp.conf)의 서버 항목 제어
2. 실행되는 NetBackup 서비스에 따라 계정의 환경 변수 제어

위 조건 모두 관리/루트/서비스 계정에서만 수정할 수 있습니다.

여전히 우려가 되고 업데이트를 적용하고 싶은 경우 아래 권장 작업을 참조하십시오.

영향을 받는 구성 요소: 주 서버, 미디어 서버 및 클라이언트

영향받는 버전: 8.3 이상

권장 조치:

NetBackup 주 서버 및 미디어 서버: 10.1.1, 10.2.0.1 또는 10.3으로 업그레이드하고 다운로드 센터에서 적합한 핫픽스를 적용하십시오.

NetBackup 클라이언트: 10.1.1, 10.2.0.1 또는 10.3으로 업그레이드하고 다운로드 센터에서 적합한 핫픽스를 적용하십시오.

NetBackup 어플라이언스: 5.1.1 MR2 유지 보수 릴리스로 업그레이드하고 다운로드 센터에서 적합한 핫픽스를 적용하십시오.

Flex Appliance: NetBackup 컨테이너를 업그레이드하고 Flex Appliance의 NetBackup 컨테이너 버전에 해당하는 NetBackup 핫픽스를 적용하십시오.

Access Appliance: 8.1 또는 8.1.100(권장)으로 업그레이드하고 NetBackup 10.1.1 다운로드에서 적합한 핫픽스를 적용하십시오.

Flex Scale: 베리타스 기술 지원에 문의하고 VTS23-013을 참조하여 수정 사항을 적용하십시오.

**NetBackup Snapshot Manager 참고 사항:

RedHat의 지침 - 결함은 여러 조건이 충족되어야 하며 공격자가 이를 활용할 수 있을 가능성은 낮습니다. 버그가 유발될 수 있는 경우에도 쿠키 주입으로 인해 피해를 입을 수 있다는 위험 또한 낮습니다.

질문

이러한 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR)에 문의하시기 바랍니다.

면책 조항

이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다.  Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다.  이 문서의 정보는 예고 없이 변경될 수 있습니다.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054