VTS22-010

HotFix para o Comunicado de Segurança que afeta Clientes e Servidores NetBackup

Histórico de Revisões

  • 1.0: Final de setembro de 2022 – Lançamento público inicial
  • 1.1: Março de 2023 – Problema 3 incluído

Resumo

A Veritas resolveu vulnerabilidades que afetavam os servidores e clientes NetBackup.

Problemas

Problema nº 1: exclusão arbitrária de arquivo

Um invasor com acesso local pode excluir arquivos arbitrariamente aproveitando uma passagem no código de registro pbx_exchange.

  • ID do CVE: CVE-2022-42308
  • Gravidade: Importante
  • Pontuação básica do CVSS v3.1: 9.0 (AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H)
  • Versões afetadas: 8.2 e anteriores
  • Ação recomendada:
    • Servidores NetBackup: faça o upgrade para 8.2 e aplique o Hotfix apropriado ou o upgrade para 8.3.x ou mais recente.
    • Clientes NetBackup: faça o upgrade para 8.2 ou 8.1.2 e aplique o Hotfix apropriado ou o upgrade para 8.3.x ou mais recente.
    • Appliance NetBackup: faça upgrade para 3.2 e aplique o Hotfix ou o upgrade apropriado para 3.3.x ou mais recente.
    • Appliance Flex: aplique o Hotfix do NetBackup correspondente à versão do NetBackup Container em dispositivos Flex
    • Flex Scale: não impactado.

Problema nº 2: negação de serviço

Um invasor com acesso local pode enviar um pacote especialmente criado para pbx_exchange durante o registro e causar uma exceção de ponteiro nulo efetivamente travando o processo pbx_exchange.

  • ID do CVE: CVE-2022-42306
  • Gravidade: Média
  • Pontuação básica do CVSS v3.1: 6.5 (AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H)
  • Versões afetadas: 8.2 e anteriores
  • Ação recomendada:
    • Servidores NetBackup: faça o upgrade para 8.2 e aplique o Hotfix apropriado ou o upgrade para 8.3.x ou mais recente.
    • Clientes NetBackup: faça o upgrade para 8.2 ou 8.1.2 e aplique o Hotfix apropriado ou o upgrade para 8.3.x ou mais recente.
    • Appliance NetBackup: faça upgrade para 3.2 e aplique o Hotfix ou o upgrade apropriado para 3.3.x ou mais recente.
    • Appliance Flex: aplique o Hotfix do NetBackup correspondente à versão do NetBackup Container em dispositivos Flex
    • Flex Scale: não impactado.

Observações

Este Aviso de Segurança, VTS22-010, também trata dos problemas identificados no VTS22-008 que foi lançado anteriormente. Se você ainda não aplicou o VTS22-008, não é necessário aplicar primeiro. Se você já aplicou o VTS22-008 pode aplicar o VTS22-010 seguramente depois.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essa vulnerabilidade, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR)

Agradecimento

A Veritas gostaria de agradecer aos seguintes membros da Equipe de Segurança da Airbus por nos informar sobre os problemas 1 e 2:
Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet e Jean-Romain Garnier.

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054