VTS22-011

HotFix para o Comunicado de Segurança que afeta Servidores NetBackup

Histórico de Revisões

  • 1.0: Final de setembro de 2022 – Lançamento público inicial

Resumo

A Veritas resolveu vulnerabilidades que afetavam os servidores NetBackup Primary.

Problemas

Problema nº1: injeção SQL

O servidor NetBackup Primary está vulnerável a um ataque de injeção de SQL que afeta o serviço NBFSMCLIENT.

  • ID do CVE: CVE-2022-42302
  • Gravidade: Importante
  • Pontuação básica do CVSS v3.1: 9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
  • Componentes afetados: servidor Primary
  • Versões afetadas: 10.0 e anteriores
  • Ação recomendada:
    • Servidores NetBackup Primary e Media: faça upgrade para NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0 e aplique o Hotfix apropriado ou upgrade para 10.0.0.1
    • Clientes NetBackup: não afetados. Nenhuma ação necessária.
    • Appliance NetBackup: faça upgrade para 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0 e aplique o Hotfix ou o upgrade apropriado para 5.0.0.1 MR1.
    • Appliance Flex: aplique o Hotfix do NetBackup correspondente à versão do NetBackup Container em dispositivos Flex
    • Flex Scale: entre em contato com o Suporte Técnico da Veritas e consulte o Artigo de conhecimento, ID do artigo 100053006 para obter uma correção.

Problema nº2: injeção SQL

O servidor NetBackup Primary está vulnerável a um ataque de injeção de SQL de 2a ordem que afeta o serviço NBFSMCLIENT pelo uso do Problema nº1 mencionado neste aviso.

  • ID do CVE: CVE-2022-42303
  • Gravidade: Alta
  • Pontuação básica do CVSS v3.1: 8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • Componentes afetados: servidor Primary
  • Versões afetadas: 10.0 e anteriores
  • Ação recomendada:
    • Servidores NetBackup Primary e Media: faça upgrade para NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0e aplique o Hotfix apropriado ou upgrade para 10.0.0.1
    • Clientes NetBackup: não afetados. Nenhuma ação necessária.
    • Appliance NetBackup: faça upgrade para 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0 e aplique o Hotfix ou o upgrade apropriado para 5.0.0.1 MR1.
    • Appliance Flex: aplique o Hotfix do NetBackup correspondente à versão do NetBackup Container em dispositivos Flex
    • Flex Scale: entre em contato com o Suporte Técnico da Veritas e consulte o Artigo de conhecimento, ID do artigo 100053006 para obter uma correção.

Problema nº3: injeção SQL

O servidor NetBackup Primary está vulnerável a um ataque de injeção de SQL que afeta o código gerenciador SLP, idm e nbars.

  • ID do CVE: CVE-2022-42304
  • Gravidade: Alta
  • Pontuação básica do CVSS v3.1: 8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • Componentes afetados: servidor Primary
  • Versões afetadas: 10.0 e anteriores
  • Ação recomendada:
    • Servidores NetBackup Primary e Media: faça upgrade para NetBackup 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0 e aplique o Hotfix apropriado ou upgrade para 10.0.0.1
    • Clientes NetBackup: não afetados. Nenhuma ação necessária.
    • Appliance NetBackup: faça upgrade para 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1, 5.0 e aplique o Hotfix ou o upgrade apropriado para 5.0.0.1 MR1.
    • Appliance Flex: aplique o Hotfix do NetBackup correspondente à versão do NetBackup Container em dispositivos Flex
    • Flex Scale: entre em contato com o Suporte Técnico da Veritas e consulte o Artigo de conhecimento, ID do artigo 100053006 para obter uma correção.

Observações

Este Aviso de Segurança, VTS22-011, também trata dos problemas identificados no VTS22-004 que foi lançado anteriormente. Se você ainda não aplicou o VTS22-004, não é necessário aplicar primeiro. Se você já aplicou o VTS22-004 pode aplicar o VTS22-011 seguramente depois.

Dúvidas

Em caso de dúvidas ou problemas relacionados a este aviso, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR)

Agradecimento

A Veritas gostaria de agradecer aos seguintes membros da Equipe de Segurança da Airbus por nos informar sobre esses problemas:  Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet e Jean-Romain Garnier.

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054