VTS23-007
Veritas InfoScale Operations Manager (VIOM) 安全公告
修订历史记录
- 1.0:2023 年 5 月 2 日:初始版
- 1.1:2023 年 5 月 19 日:增加了 CVE ID
- 1.2:2023 年 6 月 17 日:问题 2“SQL 注入”更新后的说明
摘要
Veritas 发现了与 Veritas InfoScale Operations Manager (VIOM) 有关的安全漏洞,如下所述。
| 问题 | 描述 | 严重性 | 修正版本 |
|---|---|---|---|
| 1 | 任意命令执行 | 高 | 7.4.2.800 8.0.410 |
| 2 | SQL 注入 | 高 | 7.4.2.800 8.0.410 |
问题 1:任意命令执行
VIOM Web 应用程序不会验证用户提供的数据,并会将其附加到应用程序使用的操作系统命令和内部二进制文件。具有根/管理员级别权限的攻击者可以利用此漏洞,读取服务器中存储的敏感数据、修改数据或服务器配置,以及删除数据或应用程序配置。
- CVE ID:CVE-2023-32568
- 严重性:高
- CVSS v3.1 基础评分:7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- CWE-78:对操作系统命令中使用的特殊元素进行不当抵御(“操作系统命令注入”)
问题 2:SQL 注入
在应用程序的某些区域,InfoScale VIOM Web 应用程序易受 SQL 注入攻击。这可让攻击者在后端数据库提交任意 SQL 命令,以创建、读取、更新、删除数据库中存储的任意敏感数据。利用该漏洞需要使用有效的管理员凭据访问应用程序。
- CVE ID:CVE-2023-32569
- 严重性:高
- CVSS v3.1 基础评分:7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- CWE-89:对 SQL 命令中使用的特殊元素进行不当抵御(“SQL 注入”)
受影响的版本
Veritas InfoScale Operations Manager (VIOM) 版本 7.0、7.1、7.2、7.3、7.3.1、7.4、7.4.2、8.0。不受支持的早期版本可能也会受到影响。
补救措施
签署了当前维护合同的客户应为自己的 Veritas InfoScale Operations Manager (VIOM) 版本应用可用的修补程序:
- 安装/升级到 7.4.2 GA 并应用 7.4.2.800 更新;或者
- 安装/升级到 8.0 GA 并应用 8.0.410 更新。
有关可用更新,请查看 Veritas 下载中心:https://www.veritas.com/support/zh_CN/downloads
疑问
如有关于这些漏洞的疑问或问题,请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)
免责声明
本安全公告按“原样”提供,对于所有明示或暗示的条款、陈述和保证,包括任何适销性、针对特定用途的适用性或未侵权的暗示保证,均不提供任何担保,除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改,恕不另行通知。
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054