VTS22-019

Hotfix para o aviso de segurança que afeta o NetBackup Flex Scale e o Access Appliance

Histórico de Revisões

  • 1.0: 30 de novembro de 2022 - Lançamento público inicial
  • 1.1: 08 de dezembro de 2022 – ID do CVE adicionado

Resumo

A Veritas resolveu as vulnerabilidades que afetam o NetBackup Flex Scale e o Access Appliance

Problemas

Problema 1 - Execução remota não autenticada de comandos

O Access Appliance e o NetBackup Flex Scale estão vulneráveis a uma execução remota não autenticada de comandos.

  • ID do CVE: CVE-2022-46414
  • Gravidade: Importante
  • Pontuação básica do CVSS v3.1: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
  • Versão e produtos afetados:
    • NetBackup Flex Scale 3.0 e anteriores
    • Access Appliance 8.0.100 e anteriores
  • Ação recomendada:
    • NetBackup Flex Scale: upgrade para a versão 3.0 e aplicação do HotFix
    • Access Appliance: upgrade para 7.4.3.300 ou 8.0.100 e aplicação do HotFix correspondente.

Problema 2 - Execução remota autenticada de comandos

O Access Appliance e o NetBackup Flex Scale estão vulneráveis a uma execução remota não autenticada de comandos.

  • ID do CVE: CVE-2022-46413
  • Gravidade: Alta
  • Pontuação básica do CVSS v3.1: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Versão e produtos afetados:
    • NetBackup Flex Scale 3.0 e anteriores
    • Access Appliance 8.0.100 e anteriores
  • Ação recomendada:
    • NetBackup Flex Scale: upgrade para a versão 3.0 e aplicação do HotFix
    • Access Appliance: upgrade para a versão 7.4.3.300 ou 8.0.100 e aplicação do HotFix correspondente.

Problema 3 – Credenciais padrão persistidas para o usuário principal

Uma senha padrão persiste após a instalação e pode ser descoberta e usada para escalar privilégios.

  • ID do CVE: CVE-2022-46411
  • Gravidade: Alta
  • Pontuação básica do CVSS v3.1: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Versão e produtos afetados:
    • NetBackup Flex Scale 3.0 e anteriores
    • Access Appliance 8.0.100 e anteriores
  • Ação recomendada:
    • NetBackup Flex Scale: upgrade para a versão 3.0 e aplicação do HotFix
    • Access Appliance: upgrade para 7.4.3.300 ou 8.0.100 e aplicação do HotFix correspondente.

Problema 4 – Shell restrito permite escape para shell regular

É possível para um usuário sem privilégios escapar de um shell restrito e executar comandos privilegiados.

  • ID do CVE: CVE-2022-46412
  • Gravidade: Alta
  • Pontuação básica do CVSS v3.1: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Versão e produtos afetados:
    • NetBackup Flex Scale 3.0 e anteriores
  • Ação recomendada:
    • NetBackup Flex Scale: upgrade para a versão 3.0 e aplicação do HotFix

Problema 5 – Escalação de privilégios Shell

Um invasor com privilégios não root pode escalar privilégios para root usando comandos específicos.

  • ID do CVE: CVE-2022-46410
  • Gravidade: Alta
  • Pontuação básica do CVSS v3.1: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Versão e produtos afetados:
    • NetBackup Flex Scale 3.0 e anteriores
  • Ação recomendada:
    • NetBackup Flex Scale: upgrade para a versão 3.0 e aplicação do HotFix

Observações

Para fazer o download do HotFix adequado para o NetBackup Flex Scale ou o Access Appliance, acesse a página de downloads do Suporte Veritas.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essa vulnerabilidade, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR)

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A MUDANÇAS SEM AVISO PRÉVIO. QUALQUER INDICAÇÃO FUTURA DE PLANOS PARA PRODUTOS É PRELIMINAR E TODAS AS DATAS DE LANÇAMENTOS FUTUROS SÃO PROVISÓRIAS E ESTÃO SUJEITAS A MUDANÇAS. QUALQUER VERSÃO FUTURA DO PRODUTO OU MODIFICAÇÕES PLANEJADAS DE CAPACIDADE, FUNCIONALIDADE OU RECURSOS DO PRODUTO ESTÃO SUJEITAS À AVALIAÇÃO CONTÍNUA DA VERITAS E PODEM NÃO SER IMPLEMENTADAS, LOGO, NÃO DEVEM SER ENTENDIDAS COMPROMISSOS FIRMES DA VERITAS E NEM CONSIDERADAS NA TOMADA DE DECISÕES.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054