Histórico de revisões

• 1.0: 11 de outubro de 2023: versão inicial
• 1.1: 20 de outubro de 2023: atualização temporária
• 1.2: 6 de novembro de 2023: atualização temporária
• 1.3: 28 de novembro de 2023: atualização temporária
• 1.4: 5 de dezembro de 2023: atualização temporária
• 1.5: 18 de dezembro de 2023: atualização temporária

Produtos: consulte status abaixo.

Resumo

A Veritas está ciente da vulnerabilidade altamente grave recém anunciada em curl e libcurl (CVE-2023-38545). Todas as equipes de Segurança e Desenvolvimento de Produtos da Veritas estão concluindo a avaliação de possíveis impactos em produtos Veritas.

Status atual das vulnerabilidades CVE-2023-38545 e CVE-2023-38546:

Orientações sobre NetBackup Appliance

O Veritas NetBackup considera a vulnerabilidade CVE-2023-38545 como sendo de risco muito baixo para os clientes. Os clientes podem continuar a usar as versões já existentes do NetBackup. Recomendamos aos clientes que estejam preocupados com a possibilidade de apresentarem as condições vulneráveis listadas abaixo que façam o upgrade para o NetBackup 10.1.1 ou versão mais recente e, em seguida, instalem o EEB aplicável para tratar o problema. 

As configurações padrão do NetBackup não usam o protocolo socks5h.

Para explorar essa vulnerabilidade, os invasores precisam de condições para:

1. controlar entradas do SERVIDOR na configuração do NetBackup (bp.conf no UNIX);
2. controlar a varável de ambiente da conta na qual os serviços do NetBackup estão sendo executados.

As duas condições acima só podem ser modificadas por uma conta admin/root/de serviço.

Caso você ainda tenha preocupações e queira aplicar uma atualização, siga a ação recomendada abaixo:

Componentes afetados: Servidores Primary e Media e clientes

Versões afetadas: 8.3 e mais recentes

Ação recomendada:

Servidores NetBackup Primary e Media: faça o upgrade para a versão 10.1.1 ou 10.2.0.1 ou 10.3 e aplique os hotfixes adequados disponibilizados no Download Center.

Clientes NetBackup: faça o upgrade para a versão 10.1.1 ou 10.2.0.1 ou 10.3 e aplique o hotfix adequado disponibilizado no Download Center.

NetBackup Appliance: faça o upgrade para a versão de manutenção MR2 5.1.1 e aplique o hotfix adequado disponibilizado no Download Center.

Appliance Flex: faça o upgrade do NetBackup Container e aplique o hotfix correspondente à versão desse produto.

Access Appliance: faça o upgrade para a versão 8.1 ou 8.1.100 (recomendada) e aplique o hotfix adequado disponibilizado nos downloads do NetBackup 10.1.1.

Flex Scale: entre em contato com o Suporte Técnico da Veritas e mencione VTS23-013 para obter uma correção

**Observações sobre o NetBackup Snapshot Manager

Orientação da RedHat: para que a falha ocorra, é necessária que uma série de condições seja atendida, e a probabilidade de elas permitirem que um invasor tire proveito disso é baixa. Mesmo que um bug possa ser criado para ser acionado, o risco de uma injeção de cookies ser feita para causar danos também é baixo.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS.  A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO.  AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054