VTS23-005

Notificação de inclusão do XStream no catálogo da CISA

Histórico de revisões

  • 1.0: 30 de março de 2023 – Versão pública inicial
  • 1.1: 4 de abril de 2023 – Adicionados esclarecimentos sobre recomendações para upgrade. 

A Veritas está ciente da vulnerabilidade de gravidade alta no XStream que foi adicionada ao Catálogo de Vulnerabilidades Conhecidas Exploradas da CISA em 10 de março de 2023 (CVE-2021-39144). A Veritas identificou que o NetBackup, NetBackup Appliance, NetBackup Access Appliance, e o NetBackup Flex Scale contêm o componente XStream. O NetBackup Flex Appliance não contém o componente XStream.  Veja a seguir os impactos e as ações:

NetBackup

  • Nenhuma versão do NetBackup foi afetada por esse problema.
  • Versões anteriores à 10.0 incluem uma versão vulnerável do XStream e não podem ser exploradas.
    • Para reduzir os avisos do verificador de vulnerabilidades, faça o upgrade para a versão 10.0 ou versões mais recentes.
  • A versão 10.0 e versões mais recentes não incluem uma versão vulnerável do XStream
    • Nenhuma ação necessária.

NetBackup Appliance

  • Nenhuma versão do Appliance NetBackup foi afetada por esse problema.
  • Somente a versão 3.3.0.2 contém uma versão vulnerável do XStream e não pode ser explorada.
  • Para reduzir os avisos do verificador de vulnerabilidades, faça o upgrade para a versão 4.x ou 5.x.

NetBackup Access Appliance

  • Nenhuma versão do NetBackup Access Appliance foi afetada por esse problema.
  • Somente a versão 7.4.2.400 contém uma versão vulnerável do XStream e não pode ser explorada.
  • Para reduzir os avisos do verificador de vulnerabilidades, faça o upgrade para a versão 7.4.3 ou 8x.

NetBackup Flex Scale

  • Nenhuma versão do NetBackup Flex Scale foi afetada por esse problema.
  • A versão 2.1 contém uma versão vulnerável do XStream e não pode ser explorada.
  • Para reduzir os avisos do verificador de vulnerabilidades, faça o upgrade para a versão 3.0.

Isenção de responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.