VTS23-013
curl 和 libcurl 通知(CVE-2023-38545 和 CVE-2023-38546)
修订历史记录
- 1.0:2023 年 10 月 11 日:初始版
- 1.1:2023 年 10 月 20 日:临时更新
- 1.2:2023 年 11 月 6 日:临时更新
- 1.3:2023 年 11 月 28 日:临时更新
- 1.4:2023 年 12 月 5 日:临时更新
- 1.5:2023 年 12 月 18 日:临时更新
产品:查看以下状态。
摘要
Veritas 已得知 curl 和 libcurl 中存在高严重性级别漏洞,该漏洞已于近期公布 (CVE-2023-38545)。所有 Veritas 产品安全和开发团队都在评估对 Veritas 产品的影响。
CVE-2023-38545 和 CVE-2023-38546 的当前漏洞状态:
| Veritas 产品 | 状态 |
|---|---|
Access 一体机 |
受影响 – 低风险(仅在配置了 Veritas Data Deduplication 或 NBU 客户端的情况下受影响) *查看以下 NetBackup 和一体机指南 |
Alta Archiving |
不易受攻击 |
Alta Backup as a Service |
不易受攻击 |
Alta Capture |
不易受攻击 |
Alta Data Protection |
不易受攻击 |
Alta eDiscovery |
不易受攻击 |
Alta Recovery Vault |
不易受攻击 |
Alta SaaS Protection |
不易受攻击 |
Alta Surveillance |
不易受攻击 |
Alta View |
不易受攻击 |
Backup Exec |
不易受攻击 |
Data Insight |
不易受攻击 |
Desktop and Laptop Option |
受影响。通过下载中心更新至版本 9.8.3 |
eDiscovery Platform |
不易受攻击 |
Enterprise Vault |
调查中 |
InfoScale |
不易受攻击 |
Merge1 |
不易受攻击 |
NetBackup |
受影响 – 低风险 *查看以下 NetBackup 和一体机指南 |
NetBackup 备份一体机 |
受影响 – 低风险 *查看以下 NetBackup 和一体机指南 |
NetBackup Flex 一体机 |
受影响 – 低风险 *查看以下 NetBackup 和一体机指南 |
NetBackup Flex Scale |
受影响 – 低风险 *查看以下 NetBackup 和一体机指南 |
NetBackup IT Analytics |
不易受攻击 |
NetBackup OpsCenter |
不易受攻击 |
NetBackup Quick Assist |
不易受攻击 |
NetBackup Resiliency Platform |
不易受攻击 |
NetBackup Self Service |
不易受攻击 |
NetBackup Snapshot Manager |
低风险 – **查看以下 NetBackup Snapshot Manager 说明 |
System Health Insights |
不易受攻击 |
Veritas Advanced Supervision |
不易受攻击 |
Veritas InfoScale Operations Manager (VIOM) |
不易受攻击 |
Veritas System Recovery |
受影响。通过下载中心更新至版本 23.2 |
*NetBackup 和一体机指南:
Veritas NetBackup 认为 CVE-2023-38545 给客户带来的风险较低。客户可以继续使用现有的 NetBackup 版本。如果客户担心可能会遇到以下易受攻击的情况,则建议他们升级至 NetBackup 10.1.1 或更高版本,然后安装适用的 EEB 来解决此问题。
NetBackup 的默认设置不使用 socks5h 协议。
攻击者只有在以下条件下可以利用此漏洞:
- 控制了 NetBackup 配置中的 SERVER 条目(UNIX 上的 bp.conf)
- 控制了 NetBackup 服务运行所在的帐户的环境变量。
上述两个条件均可由管理员/根/服务帐户做出修改。
如果您仍有疑虑并且希望应用更新,请执行以下建议的操作:
受影响的组件:主服务器、介质服务器和客户端
受影响的版本:8.3 及更高版本
建议采取的措施:
NetBackup 主服务器和介质服务器:升级到 10.1.1、10.2.0.1 或 10.3,并通过下载中心应用相应的修补程序。
NetBackup 客户端:升级到 10.1.1、10.2.0.1 或 10.3,并通过下载中心应用相应的修补程序。
NetBackup 备份一体机:升级到 5.1.1 MR2 维护版本并通过下载中心应用相应的修补程序。
Flex 一体机:升级 NetBackup 容器并应用与 NetBackup 容器版本对应的 NetBackup 修补程序。
Access 一体机:升级至 8.1 或 8.1.100(推荐),并通过 NetBackup 10.1.1 下载应用相应的修补程序。
Flex Scale:请联系 Veritas 技术支持,并参考 VTS23-013 以获取修补程序。
**NetBackup Snapshot Manager 说明:
来自 RedHat 的指南 – 攻击者只有满足一系列条件时才能利用此漏洞,因此他们利用此漏洞的几率较低。即使错误可能会被触发,Cookie 注入造成危害的风险也较低。
问题
如有关于这些漏洞的疑问或问题,请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)
免责声明
本安全公告按“原样”提供,对于所有明示或暗示的条款、陈述和保证,包括任何适销性、针对特定用途的适用性或未侵权的暗示保证,均不提供任何担保,除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改,恕不另行通知。
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054