VTS22-013

HotFix para o Comunicado de Segurança que afeta Servidores NetBackup

Histórico de Revisões

  • 1.0: Final de setembro de 2022 – Lançamento público inicial

Resumo

A Veritas resolveu vulnerabilidades que afetavam os servidores NetBackup Primary e Media.

Problemas

Problema nº 1: Injeção de Entidade Externa XML

O servidor NetBackup Primary é vulnerável a um ataque de injeção de entidade externa XML (XXE) por meio do processo nbars.

  • ID do CVE: CVE-2022-42301
  • Gravidade: Média
  • Pontuação básica do CVSS v3.1: 5.4 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L)
  • Componentes afetados: servidores Primary e Media
  • Versões afetadas: 10.0.0.1 e anteriores
  • Ação recomendada:
    • Servidores NetBackup Primary e Media: faça o upgrade para 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.0.1 e aplique o hotfix adequado.
    • Clientes NetBackup: não afetados. Nenhuma ação necessária.
    • Appliance NetBackup: faça o upgrade para qualquer versão de manutenção (MR) de MR1 3.3.0.2 ou 4.0.0.1 ou 4.1.0.1 ou 5.0.0.1 e aplique o Hotfix apropriado.
    • Appliance Flex: aplique o Hotfix do NetBackup correspondente à versão do NetBackup Container em dispositivos Flex.
    • Flex Scale: entre em contato com o Suporte Técnico da Veritas e consulte o Artigo de conhecimento, ID do artigo 100053006 para obter uma correção.

Problema nº 2: negação de serviço

O processo nbars do servidor NetBackup Primary pode travar, resultando em um ataque de negação de serviço. Observação: o serviço watchdog reiniciará automaticamente o processo.

  • ID do CVE: CVE-2022-42300
  • Gravidade: Média
  • Pontuação básica do CVSS v3.1: 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
  • Componentes afetados: servidores Primary e Media
  • Versões afetadas: 10.0.0.1 e anteriores
  • Ação recomendada:
    • Servidores NetBackup Primary e Media: faça o upgrade para 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0.0.1 e aplique o hotfix adequado.
    • Clientes NetBackup: não afetados. Nenhuma ação necessária.
    • Appliance NetBackup: faça o upgrade para qualquer versão de manutenção (MR) de 3.3.0.2 ou 4.0.0.1 ou 4.1.0.1 ou 5.0.0.1 MR1 e aplique o Hotfix apropriado.
    • Appliance Flex: aplique o Hotfix do NetBackup correspondente à versão do NetBackup Container em dispositivos Flex.
    • Flex Scale: entre em contato com o Suporte Técnico da Veritas e consulte o Artigo de conhecimento, ID do artigo 100053006 para obter uma correção.

Observações

Este Aviso de Segurança, VTS22-013, também trata dos problemas identificados nos VTS22-004 e VTS22-011que foram lançados anteriormente. Se você ainda não aplicou o VTS22-004 ou o VTS22-011, não é necessário aplicá-los primeiro. Se você já aplicou o VTS22-004 ou o VTS22-011, pode aplicar o VTS22-013 seguramente depois.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essa vulnerabilidade, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR

Agradecimento

A Veritas gostaria de agradecer aos seguintes membros da Equipe de Segurança da Airbus por nos informar sobre esses problemas: Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet e Jean-Romain Garnier.

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA. QUALQUER INDICAÇÃO AVANÇADA DE PLANOS PARA PRODUTOS É PRELIMINAR E TODAS AS DATAS DE LANÇAMENTOS FUTUROS SÃO EXPERIMENTAIS E ESTÃO SUJEITAS A ALTERAÇÕES. QUALQUER VERSÃO FUTURA DO PRODUTO OU MODIFICAÇÕES PLANEJADAS DOS RECURSOS OU FUNCIONALIDADES DO PRODUTO ESTÃO SUJEITAS A AVALIAÇÕES CONSTANTES POR PARTE DA VERITAS E PODERÃO NÃO SER IMPLEMENTADAS; ELAS NÃO DEVEM, PORTANTO, SER CONSIDERADAS COMO COMPROMISSOS FIRMES POR PARTE DA VERITAS NEM SER CONSIDERADAS ESSENCIAIS NAS DECISÕES.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054