VTS23-007
Comunicado de segurança do Veritas InfoScale Operations Manager (VIOM)
Histórico de revisões
- 1.0: 02 de maio de 2023: versão inicial
- 1.1: 19 de maio de 2023: ID do CVE adicionado
- 1.2: 17 de junho de 2023: Descrição atualizada do Problema 2: Injeção de SQL
Resumo
A Veritas detectou vulnerabilidades de segurança com o InfoScale Operations Manager (VIOM), conforme descrito abaixo.
| Problema | Descrição | Gravidade | Versões corrigidas |
|---|---|---|---|
| 1 | Execução de comando arbitrário | Alta | 7.4.2.800 8.0.410 |
| 2 | Injeção de SQL | Alta | 7.4.2.800 8.0.410 |
Problema 1: Execução de comando arbitrário
O aplicativo da web VIOM não valida os dados fornecidos pelo usuário e os anexa aos comandos do sistema operacional e binários internos usados pelo aplicativo. Um invasor com privilégios de nível root/administrador pode usar esta vulnerabilidade para ler dados confidenciais armazenados nos servidores, modificar os dados ou a configuração do servidor e excluir os dados ou a configuração do aplicativo.
- ID do CVE: CVE-2023-32568
- Gravidade: Alta
- Pontuação básica do CVSS v3.1: 7.2 ( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- CWE-78: Neutralização imprópria de elementos especiais usados em um comando do sistema operacional ("injeção de comando do sistema operacional")
Problema nº2: injeção SQL
O aplicativo da web InfoScale VIOM é vulnerável à injeção SQL em algumas das áreas do aplicativo. Isso permite que os invasores enviem comandos SQL arbitrários no banco de dados de back-end para criar, ler, atualizar e excluir quaisquer dados confidenciais armazenados no banco de dados. A exploração da vulnerabilidade exige acesso ao aplicativo com credenciais de administrador válidas.
- ID do CVE: CVE-2023-32569
- Gravidade: Alta
- Pontuação básica do CVSS v3.1: 7.2 ( AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- CWE-89: Neutralização imprópria de elementos especiais usados em um comando SQL ("injeção SQL")
Versões afetadas
Veritas InfoScale Operations Manager (VIOM) versões 7.0, 7.1, 7.2, 7.3, 7.3.1, 7.4, 7.4.2, 8.0. Versões anteriores não suportadas também podem ser afetadas.
Correção
Os clientes em um contrato de manutenção atual devem aplicar os patches disponíveis para sua versão do Veritas InfoScale Operations Manager (VIOM):
- Instalação/Upgrade do 7.4.2 GA e aplicação da atualização 7.4.2.800 ou
- Instalação/Upgrade do 8.0 GA e aplicação da atualização 8.0.410.
Consulte o Veritas Download Center para ver quais são as atualizações disponíveis: https://www.veritas.com/support/pt_BR/downloads
Dúvidas
Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR)
Isenção de Responsabilidade
O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054