修订历史记录

• 1.0：2023 年 7 月 26 日：初始版
• 1.1：2023 年 7 月 28 日：更新后的问题描述
• 1.2: 2023 年 8 月 25 日: 增加了 CVE ID

摘要

Veritas NetBackup Snapshot Manager 中发现了一个漏洞，该漏洞允许不可信的客户端与 RabbitMQ 服务互动。

问题

该漏洞是由于 RabbitMQ 服务配置不当，导致客户端证书没有妥当验证引发的。利用此漏洞会影响控制备份和恢复作业的消息的保密性和完整性，并可能导致服务不可用。此漏洞仅影响控制备份和恢复活动的作业，而不会允许访问或删除备份快照数据本身。此漏洞仅影响 NetBackup Snapshot Manager 功能，不会影响 NetBackup 主服务器上的 RabbitMQ 实例。

• CVE ID：CVE-2023-40256
• 严重性：严重
• CVSS v3.1 基础评分：9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• CWE：295 - 证书验证不当

受影响的版本

Veritas NetBackup Snapshot Manager 版本 8.3.0.1、8.3.0.2、9.0、9.1、9.1.0.1、10.0、10.0.0.1、10.1、10.1.1、10.2。之前的 Veritas NetBackup CloudPoint 应用程序早期不受支持的版本可能也会受到影响。

补救措施

持有当前维护合同的客户应如下所示更新 NetBackup Snapshot Manager：

• 升级到 10.2.0.1（强烈建议）
• 部署 10.1.1 修补程序（前提条件是先升级到 10.1.1）
• 部署 10.0.0.1 修补程序（前提条件是先升级到 10.0.0.1）

有关可用更新，请查看 Veritas 下载中心：https://www.veritas.com/support/zh_CN/downloads

疑问

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)

鸣谢

Veritas 诚挚感谢 Palindrome Technologies 负责任地向我们报告此问题。

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054