Histórico de revisões

• 1.0: 26 de julho de 2023: versão inicial
• 1.1: 28 de julho de 2023: atualização na descrição do problema
• 1.2: 25 de agosto de 2023: ID do CVE adicionado

Resumo

Foi detectada uma vulnerabilidade no Veritas NetBackup Snapshot Manager que permitia que clientes não confiáveis interagissem com o serviço RabbitMQ. 

Problema

A vulnerabilidade foi causada por validação indevida do certificado do cliente, devido à configuração incorreta do serviço RabbitMQ. A exploração dessa vulnerabilidade afeta a confidencialidade e a integridade de mensagens que controlam o backup e restauram tarefas, podendo resultar na indisponibilidade do serviço. Essa vulnerabilidade afeta apenas as tarefas que controlam o backup e restauram atividade, mas não permite acessar ou excluir os dados de capturas de tela de backup propriamente ditos. Essa vulnerabilidade afeta exclusivamente o recurso NetBackup Snapshot Manager, sem afetar a instância do RabbitMQ nos servidores primários do NetBackup.

• ID da CVE: CVE-2023-40256
• Gravidade: Importante
• Pontuação básica do CVSS v3.1: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• CWE: 295 - Validação indevida de certificado

Versões afetadas

Veritas NetBackup Snapshot Manager versões 8.3.0.1, 8.3.0.2, 9.0, 9.1, 9.1.0.1, 10.0, 10.0.0.1, 10.1, 10.1.1, 10.2. Versões anteriores não compatíveis do aplicativo NetBackup CloudPoint predecessor também podem ser afetadas.

Correção

Os clientes cobertos por um contrato de manutenção atual devem atualizar o NetBackup Snapshot Manager da seguinte forma:

• Upgrade para a versão 10.2.0.1 (altamente recomendado)
• Ativar o hotffix 10.1.1 (o upgrade para a versão 10.1.1 é um pré-requisito)
• Ativar o hotffix 10.0.0.1 (o upgrade para a versão 10.0.0.1 é um pré-requisito)

Consulte o Veritas Download Center para saber quais atualizações estão disponíveis:  https://www.veritas.com/support/pt_BR/downloads

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).

Agradecimento

A Veritas agradece à Palindrome Technologies por ter informado esse problema de forma responsável a nós.

Isenção de responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS.  A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO.  AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054