修订历史记录

• 1.0：2023 年 8 月 3 日：初始版

摘要

从 Infinidat InfiniBox 和 Infinidat InfiniGuard 中收集数据所需的二进制文件中存在多个漏洞，这些漏洞源于过时的第三方软件。

问题

已确定用于从 Infinidat 产品收集数据的 adapter/adapter.exe 二进制文件中存在大量 CVE，包括 OpenSSL 中的一个严重漏洞 (CVE-2016-0799)。

• 严重性：严重
• CVSS v3.1 基础评分 9.8：(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• CWE-119：对内存缓冲区范围内操作的不当限制

前提条件

必须安装了其中一种 Infinidat 收集器。

受影响的版本

Veritas NetBackup IT Analytics 版本 11.0、11.1 和 11.2。APTARE IT Analytics 不受支持的更低版本也可能会受到影响。

补救措施

签署了当前维护合同的客户应将其 Veritas NetBackup IT Analytics 升级到版本 11.1.11、11.2.04 或更高版本，这些版本将移除二进制文件。从 Infinidat 设备收集数据的操作将会停止，但从 Infinidat 设备收集的现有数据将保留下来。当 Infinidat 中的二进制文件的更新后版本可用后，我们可能会发布可恢复这些文件的 IT Analytics 更新。

有关可用更新，请查看 Veritas 下载中心：https://www.veritas.com/support/zh_CN/downloads

疑问

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054