Revisões
1.0: 29 de julho de 2019: release inicial
1.1: 30 de julho de 2019: adicionados IDs do CVE
1.2: 31 de julho de 2019: corrigidas versões afetadas para todos os problemas, corrigida gravidade do problema 4
Resumo
Várias vulnerabilidades na Veritas Resiliency Platform (VRP)
| Problema | Descrição | Gravidade |
|---|---|---|
| 1 | Vulnerabilidade traversal de diretório, relacionada ao upload de pacotes de aplicativos | Importante |
| 2 | Vulnerabilidade na execução arbitrária de comandos com privilégio raiz, relacionada a configuração do servidor DNS | Alta |
| 3 | Vulnerabilidade na execução arbitrária de comandos com privilégio raiz, relacionada a planos de resiliência e scripts personalizados | Alta |
| 4 | Vulnerabilidade de XSS, relacionada a planos de resiliência | Média |
Problemas
Problema 1
Ao fazer o upload de um pacote de aplicativos, uma vulnerabilidade traversal de diretório permite que um usuário da VRP que tenha privilégios suficientes substitua qualquer arquivo na máquina virtual da VRP. Um usuário mal intencionado da VRP poderia usar essa situação para substituir os arquivos já existentes para assumir o controle da máquina virtual da VRP.
ID do CVE: CVE-2019-14415
Gravidade: Importante
Pontuação básica CVSS v3: 9.1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
Produtos afetados
- Todas as versões antes da VRP 3.3.2 HF14
Problema 2
Uma vulnerabilidade na execução arbitrária de comandos permite que um usuário mal intencionado execute comandos com privilégio raiz na máquina virtual da VRP, relacionada à funcionalidade do DNS.
ID do CVE: CVE-2019-14416
Gravidade: Alta
Pontuação básica CVSS v3: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
Produtos afetados
- Todas as versões antes da VRP 3.3.2 HF14
Problema 3
Uma vulnerabilidade na execução arbitrária de comandos permite que um usuário mal intencionado execute comandos com privilégio raiz na máquina virtual da VRP, relacionada à funcionalidade de planos de resiliência e scripts personalizados.
ID do CVE: CVE-2019-14417
Gravidade: Alta
Pontuação básica CVSS v3: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
Produtos afetados
- Todas as versões antes da VRP 3.3.2 HF14
Problema 4
Uma vulnerabilidade persistente de scripts entre sites (XSS) permite que um usuário mal intencionado da VRP insira scripts maliciosos no navegador de outro usuário, relacionada à funcionalidade de planos de resiliência.
ID do CVE:CVE-2019-14418
Gravidade: Média
Pontuação básica do CVSS v3: 5.9 (AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L)
Produtos afetados
- Todas as versões antes da VRP 3.3.2 HF14
Dúvidas
Se você tiver alguma dúvida sobre qualquer informação incluída neste comunicado de segurança, entre em contato com o suporte técnico da Vertias.
Práticas recomendadas
Como parte das práticas recomendadas normais, a Veritas recomenda que os clientes:
- restrinjam o acesso a sistemas de administração ou gerenciamento para usuários privilegiados;
- restrinjam o acesso remoto, se necessário, apenas a sistemas confiáveis/autorizados;
- mantenham todos os sistemas operacionais e aplicativos atualizados com os patches mais recentes do fornecedor;
- sigam uma abordagem de várias camadas em relação à segurança; executem aplicativos de firewall e antimalware, no mínimo, para oferecer vários pontos de detecção e proteção contra ameaças de entrada e saída;
- implementem sistemas de detecção de intrusões no host e na rede para monitorar o tráfego de rede para sinais de atividade anormal ou suspeita. Isso pode ajudar na detecção de ataques ou atividades mal-intencionados relacionados à exploração de vulnerabilidades latentes.
Isenção de responsabilidade
O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A Veritas Technologies LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054
© 2019 Veritas Technologies LLC. Todos os direitos reservados. Veritas, o logotipo da Veritas e NetBackup são marcas comerciais ou registradas da Veritas Technologies LLC ou de suas afiliadas nos Estados Unidos e em outros países. Outros nomes podem ser marcas comerciais dos respectivos proprietários