VTS22-011

针对影响 NetBackup 服务器的安全公告的热修补程序

修订历史记录

  • 1.0:2022 年 9 月末 - 首次公开发布

摘要

Veritas 解决了影响 NetBackup 主服务器的漏洞。

问题

问题 1:SQL 注入

NetBackup 主服务器容易受到影响 NBFSMCLIENT 服务的 SQL 注入攻击。

  • CVE ID: CVE-2022-42302
  • 严重性:严重
  • CVSS v3.1 基础评分:9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
  • 受影响的组件:主服务器
  • 受影响的版本:10.0 及更早版本
  • 建议采取的措施:
    • NetBackup 主服务器和介质服务器:请升级到 NetBackup 8.2、8.3.0.1、8.3.0.2、9.0.0.1、9.1.0.1、10.0 并应用相应的热修补程序,或升级到 10.0.0.1
    • NetBackup 客户端:不受影响。无需采取任何措施。
    • NetBackup Appliance:请升级到 3.2、3.3.0.1、3.3.0.2、4.0.0.1、4.1.0.1、5.0 并应用相应的热修补程序,或升级到 5.0.0.1 MR1。
    • Flex Appliance:请在 Flex Appliance 上应用与 NetBackup 容器版本对应的 NetBackup 热修补程序
    • Flex Scale:请联系 Veritas 技术支持,并参考 ID 为 100053006 的知识文章,以获取修补程序。

问题 2:SQL 注入

NetBackup 主服务器容易受到影响 NBFSMCLIENT 服务的二阶 SQL 注入攻击,该攻击利用了本公告中的问题 1。

  • CVE ID: CVE-2022-42303
  • 严重性:高
  • CVSS v3.1 基础评分:8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • 受影响的组件:主服务器
  • 受影响的版本:10.0 及更早版本
  • 建议采取的措施:
    • NetBackup 主服务器和介质服务器:请升级到 NetBackup 8.2、8.3.0.1、8.3.0.2、9.0.0.1、9.1.0.1、10.0 并应用相应的热修补程序,或升级到 10.0.0.1
    • NetBackup 客户端:不受影响。无需采取任何措施。
    • NetBackup Appliance:请升级到 3.2、3.3.0.1、3.3.0.2、4.0.0.1、4.1.0.1、5.0 并应用相应的热修补程序,或升级到 5.0.0.1 MR1。
    • Flex Appliance:请在 Flex Appliance 上应用与 NetBackup 容器版本对应的 NetBackup 热修补程序
    • Flex Scale:请联系 Veritas 技术支持,并参考 ID 为 100053006 的知识文章,以获取修补程序。

问题 3:SQL 注入

NetBackup 主服务器容易受到影响 idm、nbars 和 SLP 管理员代码的 SQL 注入攻击。

  • CVE ID: CVE-2022-42304
  • 严重性:高
  • CVSS v3.1 基础评分:8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
  • 受影响的组件:主服务器
  • 受影响的版本:10.0 及更早版本
  • 建议采取的措施:
    • NetBackup 主服务器和介质服务器:请升级到 NetBackup 8.2、8.3.0.1、8.3.0.2、9.0.0.1、9.1.0.1、10.0 并应用相应的热修补程序,或升级到 10.0.0.1
    • NetBackup 客户端:不受影响。无需采取任何措施。
    • NetBackup Appliance:请升级到 3.2、3.3.0.1、3.3.0.2、4.0.0.1、4.1.0.1、5.0 并应用相应的热修补程序,或升级到 5.0.0.1 MR1。
    • Flex Appliance:请在 Flex Appliance 上应用与 NetBackup 容器版本对应的 NetBackup 热修补程序
    • Flex Scale:请联系 Veritas 技术支持,并参考 ID 为 100053006 的知识文章,以获取修补程序。

注意事项

本安全公告 VTS22-011 还解决了早些时候发布的在 VTS22-004 中发现的问题。如果您尚未应用 VTS22-004,则无需先应用。如果您已应用 VTS22-004,则可以在其基础上安全地应用 VTS22-011。

疑问

如有关于此公告的疑问或问题,请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)

鸣谢

Veritas 非常感谢以下 Airbus 安全团队成员告知我们这些问题:Mouad Abouhali、Benoît Camredon、Nicholas Devillers、Anaïs Gantet 和 Jean-Romain Garnier。

免责声明

本安全公告按“原样”提供,对于所有明示或暗示的条款、陈述和保证,包括任何适销性、针对特定用途的适用性或未侵权的暗示保证,均不提供任何担保,除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改,恕不另行通知。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054