Bisherige Aktualisierungen

  • 1.0: 1. April 2022: Erste Version
  • 2.0: 8. April 2022: Access BYOS und InfoScale VEA als nicht verwundbar hinzugefügt
  • 3.0: 22. April 2022: Mehrere Appliance-Produkte mit Behebungsempfehlungen hinzugefügt

Zusammenfassung

Die Spring Framework-Remotecodeausführung-Sicherheitslücke über Datenbindung unter JDK 9 und höher (CVE-2022-22965) wurde in mehreren Appliance-Produkten von Veritas identifiziert. Die folgenden Veritas-Produkte sind betroffen:

Produkt Betroffene Versionen Korrigierte Versionen CVE ID Behebung

Access Appliance

7.4.3/7.4.3.100/7.4.3.200

7.4.3.300

CVE-2022-22965

Article 100052919

Flex Appliance

1.3.x, 2.0, 2.0.1, 2.0.2, 2.1

2.0.2 mit Hotfix
2.1 mit Hotfix

CVE-2022-22965

Article 100052862

NetBackup Appliance/
NetBackup Virtual Appliance

4.0/4.0.0.1 MR1/4.0.0.1 MR2
4.0.0.1 MR3
4.1/4.1.0.1 MR1
4.1.0.1 MR2

4.0.0.1 MR3 mit Hotfix
4.1.0.1 MR2 mit Hotfix
5.0

CVE-2022-22965

Article 100052910

NetBackup Flex Scale Appliance

2.1, 3.0

2.1 Hotfix
3.0 Hotfix

CVE-2022-22965

Article 100052911

Problem

Die oben aufgeführten Veritas-Produkte enthalten Spring-Framework-Anwendungen, die Java JDK 9 verwenden, und sind von der Sicherheitslücke betroffen, bei der über Datenbindung Code remote ausgeführt (Remote Code Execution, RCE) werden kann.

Schweregrad: Kritisch
CVSS v3.1 Base Score 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Die Spring Framework-Sicherheitslücke besteht aufgrund einer unzureichenden Neutralisierung von speziellen Elementen, die in einem Betriebssystem-Befehl (CWE-78) verwendet werden. Der Angreifer kann somit eine beliebige bösartige Klasse laden, was zu einer möglichen Ausführung von bösartigem Code auf dem Server führen kann.

Behebung

Kunden mit einem aktuellen Wartungs-/Supportvertrag müssen auf eine der in der obigen Tabelle aufgeführten korrigierten Versionen aktualisieren.

Nicht betroffene Veritas-Produkte

Die folgenden Veritas-Produkte enthalten das Spring Framework. Aktuell gehen wir jedoch nicht davon aus, dass diese Sicherheitslücke Auswirkungen auf diese Veritas-Produkte hat. Veritas wird diese Mitteilung aktualisieren, falls diesbezüglich Änderungen vorliegen.

Produkt Vom Problem betroffen Kommentare

Access Appliance 7.4.2.x

Nein

Keine Verwendung von JDK >= 9

CloudPoint

Nein

Keine Verwendung von JDK >= 9

Data Insight

Nein

Keine Verwendung von JDK >= 9

eDiscovery

Nein

Keine Verwendung von JDK >= 9

NetBackup

Nein

Keine Verwendung von JDK >= 9

NetBackup Appliance 3.x

Nein

Keine Verwendung von JDK >= 9

NetBackup Appliance 5.x

Nein

Verwendet Spring Framework 5.3.18

NetBackup Virtual Appliance 3.x

Nein

Keine Verwendung von JDK >= 9

NetBackup Virtual Appliance 5.x

Nein

Verwendet Spring Framework 5.3.18

NetBackup IT Analytics (ehemals APTARE)

Nein

Keine Verteilung von Spring in einer WAR-Datei

NetBackup OpsCenter

Nein

Keine Verwendung von JDK >= 9

Veritas InfoScale Operations Manager (VIOM)

Nein

Keine Verwendung von JDK >= 9

Veritas Resiliency Platform (VRP)

Nein

Keine Verwendung von JDK >= 9

Die folgenden Veritas-Produkte enthalten das Spring Framework nicht und sind nicht von dieser Sicherheitslücke betroffen:

  • Access BYOS
  • Appliance Management Server (AMS)
  • Backup Exec
  • Desktop and Laptop Option
  • Enterprise Vault
  • Enterprise Vault.cloud
  • InfoScale core stack (VCS / VM / FS)
  • InfoScale Veritas Enterprise Administrator (VEA)
  • NetBackup Recovery Vault
  • NetBackup SaaS Protection
  • Merge1
  • Quick Assist
  • Veritas Advanced Supervision
  • Veritas System Recovery (VSR)

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Schwachstellen wenden Sie sich an den Veritas-Techniksupport (https://www.veritas.com/support/de_DE).

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA