VTS23-010

Vulnerabilidade na execução de códigos remotos que afeta servidores e clientes NetBackup

Histórico de revisões

  • 1.0: 18 de julho – Versão pública inicial

Resumo

A Veritas corrigiu uma vulnerabilidade na execução de códigos remotos (RCE) que afetava servidores e clientes NetBackup.

Execução de códigos remotos

O processo NetBackup BPCD valida indevidamente o caminho do arquivo, permitindo que um invasor não autenticado faça o upload de um arquivo personalizado e o execute.

  • ID do CVE: a ser anunciada.
  • Gravidade: Importante
  • Pontuação básica do CVSS v3.1: 9.8: ( AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H )
  • Versão e produtos afetados:
    • Servidor primário NetBackup, servidor de mídia e clientes: versões anteriores à 8.1.2.
    • NetBackup Appliance: versões anteriores à 3.1.2
  • Ação recomendada:
    • Para o NetBackup: se você tem uma versão anterior à 8.1.2, faça o upgrade para a versão 8.3.0.2 ou mais recente. Se você tem a versão 8.1.2 ou mais recente, nenhuma ação é necessária.
    • Para o Appliance NetBackup : se você tem uma versão anterior à 3.1.2, faça o upgrade para a versão 3.3.0.2 MR2 ou mais recente. Se você tem a versão 3.1.2 ou mais recente, nenhuma ação é necessária.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essa vulnerabilidade, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR)

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA. QUALQUER INDICAÇÃO AVANÇADA DE PLANOS PARA PRODUTOS É PRELIMINAR, E TODAS AS DATAS DE LANÇAMENTOS FUTUROS SÃO PREVISÕES E ESTÃO SUJEITAS A ALTERAÇÕES. QUAISQUER VERSÕES FUTURAS DO PRODUTO OU MODIFICAÇÕES PLANEJADAS DE CAPACIDADE, FUNCIONALIDADE OU RECURSOS DO PRODUTO ESTÃO SUJEITAS A AVALIAÇÃO CONTÍNUA DA VERITAS E PODEM NÃO SER IMPLEMENTADAS; LOGO, NÃO DEVEM SER ENTENDIDAS COMO COMPROMISSOS FIRMES DA VERITAS NEM CONSIDERADAS EM UM PROCESSO DE TOMADA DE DECISÕES.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054