VTS22-012

HotFix para o Comunicado de Segurança que afeta Servidores e Clientes NetBackup

Histórico de Revisões

  • 1.0: Final de setembro de 2022 – Lançamento público inicial

Resumo

A Veritas resolveu vulnerabilidades que afetavam os servidores NetBackup Primary e Media, assim como clientes.

Problemas

Problema nº 1: caminho absoluto

O servidor NetBackup Primary está vulnerável a um ataque de caminho absoluto por meio do serviço DiscoveryService.

  • ID do CVE: CVE-2022-42305
  • Gravidade: Média
  • Pontuação básica do CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Componentes afetados: servidor Primary, embora as correções se apliquem ao servidor Primary, Media e clientes. Veja a ação recomendada abaixo.
  • Versões afetadas: 10.0.0.1 e anteriores
  • Ação recomendada:
  • Servidores NetBackup Primary, servidores Media e clientes: faça o upgrade para 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.0.1 e aplique o hotfix adequado.
  • Appliance NetBackup: faça o upgrade para qualquer versão de manutenção (MR) de MR1 3.3.0.2, 4.0.0.1, 4.1.0.1 ou 5.0.0.1 e aplique o Hotfix apropriado. Hotfix de cliente: não aplicável.
  • Appliance Flex: aplique o Hotfix do NetBackup correspondente à versão do NetBackup Container em dispositivos Flex. Hotfix de cliente: não aplicável
  • Flex Scale: entre em contato com o Suporte Técnico da Veritas e consulte o Artigo de conhecimento, ID do artigo 100053006 para obter uma correção.

Problema nº 2: Injeção de Entidade Externa XML

  • O servidor NetBackup Primary é vulnerável a um ataque de injeção de entidade externa XML (XXE) por meio do DiscoveryService.
  • ID do CVE:: CVE-2022-42307
  • Gravidade: Média
  • Pontuação básica do CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Componentes afetados: servidor Primary, embora as correções se apliquem ao servidor Primary, Media e clientes. Veja a ação recomendada abaixo.
  • Versões afetadas: 10.0.0.1 e anteriores
  • Ação recomendada:
    • Servidores NetBackup Primary, servidores Media e clientes: faça o upgrade para 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.0.1 e aplique o hotfix adequado.
    • Appliance NetBackup: faça o upgrade para qualquer versão de manutenção (MR) de MR1 3.3.0.2, 4.0.0.1, 4.1.0.1 ou 5.0.0.1 e aplique o Hotfix apropriado. Hotfix de cliente: não aplicável.
    • Appliance Flex: aplique o Hotfix do NetBackup correspondente à versão do NetBackup Container em dispositivos Flex. Hotfix de cliente: não aplicável
    • Flex Scale: entre em contato com o Suporte Técnico da Veritas e consulte o Artigo de conhecimento, ID do artigo 100053006 para obter uma correção.

Problema nº 3: negação de serviço

O servidor NetBackup Primary está vulnerável a um ataque de negação de serviço por meio do serviço DiscoveryService.

  • ID do CVE: CVE-2022-42299
  • Gravidade: Média
  • Pontuação básica do CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  • Componentes afetados: servidor Primary, embora as correções se apliquem ao servidor Primary, Media e clientes. Veja a ação recomendada abaixo.
  • Versões afetadas: 10.0.0.1 e anteriores
  • Ação recomendada:
    • Servidores NetBackup Primary, servidores Media e clientes: faça o upgrade para 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.0.1 e aplique o hotfix adequado.
    • Appliance NetBackup: faça o upgrade para qualquer versão de manutenção (MR) de MR1 3.3.0.2, 4.0.0.1, 4.1.0.1 ou 5.0.0.1 e aplique o Hotfix apropriado. Hotfix de cliente: não aplicável.
    • Appliance Flex: aplique o Hotfix do NetBackup correspondente à versão do NetBackup Container em dispositivos Flex. Hotfix de cliente: não aplicável
    • Flex Scale: entre em contato com o Suporte Técnico da Veritas e consulte o Artigo de conhecimento, ID do artigo 100053006 para obter uma correção.

Observações

Este Aviso de Segurança, VTS22-012, também trata dos problemas identificados no VTS22-008 que foi lançado anteriormente. Se você ainda não aplicou o VTS22-008, não é necessário aplicar o VTS22-008 primeiro, basta simplesmente aplicar o VTS22-012. Se você já aplicou o VTS22-008 pode aplicar o VTS22-012 seguramente depois.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essa vulnerabilidade, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR

Agradecimento

A Veritas gostaria de agradecer aos seguintes membros da Equipe de Segurança da Airbus por nos informar sobre esses problemas: Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet e Jean-Romain Garnier.

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA. QUALQUER INDICAÇÃO AVANÇADA DE PLANOS PARA PRODUTOS É PRELIMINAR E TODAS AS DATAS DE LANÇAMENTOS FUTUROS SÃO EXPERIMENTAIS E ESTÃO SUJEITAS A ALTERAÇÕES. QUALQUER VERSÃO FUTURA DO PRODUTO OU MODIFICAÇÕES PLANEJADAS DOS RECURSOS OU FUNCIONALIDADES DO PRODUTO ESTÃO SUJEITAS A AVALIAÇÕES CONSTANTES POR PARTE DA VERITAS E PODERÃO NÃO SER IMPLEMENTADAS; ELAS NÃO DEVEM, PORTANTO, SER CONSIDERADAS COMO COMPROMISSOS FIRMES POR PARTE DA VERITAS NEM SER CONSIDERADAS ESSENCIAIS NAS DECISÕES.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054