Hotfix para o Comunicado de Segurança que afeta o NetBackup Client

Histórico de Revisões

• 1.0: 18 de julho de 2022, release inicial

Resumo

A Veritas resolveu diversas vulnerabilidades que afetavam NetBackup Clients.

Problemas

Problema 1: Execução de comandos arbitrários

O NetBackup Client permite a execução de comandos arbitrários a partir de qualquer host remoto que tenha acesso a um certificado ou chave privada do NetBackup com ID válido no mesmo domínio.

• CVE ID: CVE-2022-36956
• Gravidade: Importante
• Pontuação básica do CVSS v3.1: 9.0 (AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)
• Versões afetadas: 9.0.x, 9.1.x
• Ação recomendada:
  • Fazer o upgrade do NBU Client para 10.0 (nenhum hotfix necessário) ou
  • Fazer o upgrade do NBU Client para 9.1.0.1 e aplicar o hotfix VTS22-008 para Comunicado de Segurança que afeta NetBackup 9.1.0.1 Clients (Etrack 4066508) ou
  • Fazer o upgrade do NBU Client para 9.0.0.1 e aplicar o hotfix VTS22-008 para Comunicado de Segurança que afeta o NetBackup 9.0.0.1 Clients (Etrack 4067247) ou
  • Para NBU Client versões 8.3.x e anteriores: não vulnerável; não aplicável
    

Problema 2: Encaminhamento de privilégios

Um invasor com acesso local sem privilégios a um NetBackup Client pode enviar comandos específicos para encaminhar seus privilégios.

• CVE ID: CVE-2022-36955
• Gravidade: Alta
• Pontuação básica do CVSS v3.1: 7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
• Versões afetadas: 9.1.x, 9.0.x, 8.3.x, 8.2 e anteriores
• Ações recomendadas:
  • Fazer o upgrade do NBU Client para 10.0 (nenhum hotfix necessário) ou
  • Fazer o upgrade do NBU Client para 9.1.0.1 e aplicar o hotfix VTS22-008 para Comunicado de Segurança que afeta NetBackup 9.1.0.1 Clients (Etrack 4066508) ou
  • Fazer o upgrade do NBU Client para 9.0.0.1 e aplicar o hotfix VTS22-008 para Comunicado de Segurança que afeta NetBackup 9.0.0.1 Clients (Etrack 4067247) ou
  • Fazer o upgrade do NBU Client para 8.3.0.2 e aplicar o hotfix VTS22-008 para Comunicado de Segurança que afeta NetBackup 8.3.0.2 Clients (Etrack 4066512) ou
  • Para o NBU Client versão 8.2, aplicar o hotfix VTS22-008 para Comunicado de Segurança que afeta NetBackup 8.2 Clients (Etrack 4068828)
  • Para o NBU Client para 8.1.2, aplicar o hotfix VTS22-008 para Comunicado de Segurança que afeta NetBackup 8.1.2 Clients (Etrack 4071637)

Observações

Correções relacionadas ao servidor primário e de mídia para essas vulnerabilidade já foram tratadas no Comunicado de Segurança para VTS22-004.

Agradecimento

A Veritas gostaria de agradecer aos seguintes membros da Equipe de Segurança da Airbus por nos informar sobre o Problema 2: Mouad Abouhali, Benoit Camredon, Nicholas Devillers, Anais Gantet e Jean-Romain Garnier.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essa vulnerabilidade, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support)

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC 2625

Augustine Drive

Santa Clara, CA 95054