VTS23-002
Vulnerabilidade de arquivo não assinado no NetBackup IT Analytics
Histórico de Revisões
- 1.0: 20 de março de 2023: versão inicial
- 1.1: 30 de março de 2023: ID do CVE adicionado
Resumo
O processo de upgrade do aplicativo Veritas NetBackup IT Analytics incluía arquivos não assinados que poderiam ser explorados e resultar na instalação de componentes não autênticos pelo cliente.
Problema
- ID do CVE: CVE-2023-28818
- Gravidade: Média
- Pontuação básica do CVSS v3.1 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
Alguém mal-intencionado pode instalar arquivos executáveis e não autorizados (aptare.jar, upgrademanager.zip) do Collector no servidor do NetBackup IT Analytics Portal, que podem ser baixados e instalados nos coletores. (CWE-347: Verificação imprópria de assinatura criptográfica)
Pré-requisitos
A parte mal-intencionada exigiria acesso de função administrativa/raiz ao NetBackup IT Analytics Portal Server para instalar o componente não autêntico.
Versões afetadas
Veritas NetBackup IT Analytics Versões 11.1 e 11.0. Versões anteriores sem suporte do APTARE IT Analytics também foram afetadas.
Correção
Os clientes cobertos por um contrato de manutenção atual devem atualizar para a versão 11.2.0 do NetBackup IT Analytics.
Consulte o Veritas Download Center para ver quais são as atualizações disponíveis: https://www.veritas.com/support/pt_BR/downloads
Dúvidas
Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR)
Isenção de Responsabilidade
O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054