针对影响 NetBackup 服务器的安全公告的热修补程序

修订历史记录

• 1.0：2022 年 9 月末 - 首次公开发布

摘要

Veritas 解决了影响 NetBackup 主服务器和介质服务器的漏洞。

问题

问题 1：XML 外部实体注入

NetBackup 主服务器容易通过 nbars 进程受到 XML 外部实体 (XXE) 注入攻击。

• CVE ID: CVE-2022-42301
• 严重性：中等
• CVSS v3.1 基础评分：5.4 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L)
• 受影响的组件：主服务器和介质服务器
• 受影响的版本：10.0.0.1 及更早版本
• 建议采取的措施：
  • NetBackup 主服务器和介质服务器：升级到 8.3.0.2、9.0.0.1、9.1.0.1 或 10.0.0.1，并应用相应的热修补程序。
  • NetBackup 客户端：不受影响。无需采取任何措施。
  • NetBackup Appliance：升级到 3.3.0.2、4.0.0.1、4.1.0.1 或 5.0.0.1 MR1 的任意维护版本 (MR)，并应用相应的热修补程序。
  • Flex Appliance：请在 Flex Appliance 上应用与 NetBackup 容器版本对应的 NetBackup 热修补程序。
  • Flex Scale：请联系 Veritas 技术支持，并参考 ID 为 100053006 的知识文章，以获取修补程序。

问题 2：拒绝服务

NetBackup 主服务器 nbars 进程可能会崩溃，导致拒绝服务攻击。（注意 - watchdog 服务会自动重新启动进程。）

• CVE ID: CVE-2022-42300
• 严重性：中等
• CVSS v3.1 基础评分：4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
• 受影响的组件：主服务器和介质服务器
• 受影响的版本：10.0.0.1 及更早版本
• 建议采取的措施：
  • NetBackup 主服务器和介质服务器：升级到 8.3.0.2、9.0.0.1、9.1.0.1 或 10.0.0.1，并应用相应的热修补程序。
  • NetBackup 客户端：不受影响。无需采取任何措施。
  • NetBackup Appliance：升级到 3.3.0.2、4.0.0.1、4.1.0.1 或 5.0.0.1 MR1 的任意维护版本 (MR)，并应用相应的热修补程序。
  • Flex Appliance：请在 Flex Appliance 上应用与 NetBackup 容器版本对应的 NetBackup 热修补程序。
  • Flex Scale：请联系 Veritas 技术支持，并参考 ID 为 100053006 的知识文章，以获取修补程序。

注意事项

本安全公告 VTS22-013 还解决了早些时候发布的在 VTS22-004 和 VTS22-011 中发现的问题。如果您尚未应用 VTS22-004 或 VTS22-011，则无需先应用它们。如果您已应用 VTS22-004 或 VTS22-011，则可以在其基础上安全地应用 VTS22-013。

疑问

如有关于此公告的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN) 

鸣谢

Veritas 非常感谢以下 Airbus 安全团队成员告知我们这些问题：Mouad Abouhali、Benoît Camredon、Nicholas Devillers、Anaïs Gantet 和 Jean-Romain Garnier。

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。此处对产品计划做出的预见性表示均为初步结果，所有未来的发布日期都是暂定的，随时可能发生更改。产品的任何未来版本或对产品的能力、功能或特性所做的任何计划内修改均要经过 VERITAS 的持续评估，无论实施与否，均不能视为 VERITAS 所做的确定承诺及制定决策的依据。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054