VTS22-013

Hotfix für Sicherheitslücken, die NetBackup-Server betreffen

Bisherige Aktualisierungen

  • 1.0: Ende September 2022 – Öffentliche Erstfassung

Zusammenfassung

Veritas hat Sicherheitslücken geschlossen, die NetBackup-Primär- und -Medienserver betreffen.

Probleme

Problem 1: XML External Entity-Injection-Schwachstelle

Der NetBackup-Primärserver ist über den nbars-Prozess für einen XML External Entity (XXE)-Injection-Angriff anfällig.

  • CVE ID: CVE-2022-42301
  • Schweregrad: mittel
  • CVSS v3.1 Base Score: 5.4 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L)
  • Betroffene Komponenten: Primär- und Medienserver
  • Betroffene Versionen: 10.0.0.1 und älter
  • Empfohlene Maßnahmen:
    • NetBackup-Primär- und -Medienserver: Upgrade auf 8.3.0.2 oder 9.0.0.1 oder 9.1.0.1 oder 10.0.0.1 und Anwendung des entsprechenden Hotfix.
    • NetBackup-Clients: nicht betroffen. Keine Maßnahmen erforderlich.
    • NetBackup Appliance: Upgrade auf eine der Wartungsversionen (Maintenance Release, MR) 3.3.0.2 oder 4.0.0.1 oder 4.1.0.1 oder 5.0.0.1 MR1 und Anwendung des entsprechenden Hotfix.
    • Flex Appliance: Wenden Sie bitte das NetBackup-Hotfix entsprechend der NetBackup-Container-Version auf Flex Appliances an.
    • Flex Scale: Bitte wenden Sie sich an den technischen Support von Veritas und beziehen Sie sich auf Wissensartikel-ID 100053006, um eine Korrektur zu erhalten.

Problem 2: Denial of Service

Der nbars-Prozess des NetBackup-Primärservers kann abstürzen, was zu einem Denial-of-Service-Angriff führt. (Hinweis: Watchdog-Service startet den Prozess automatisch neu.)

  • CVE ID: CVE-2022-42300
  • Schweregrad: mittel
  • CVSS v3.1 Base Score: 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
  • Betroffene Komponenten: Primär- und Medienserver
  • Betroffene Versionen: 10.0.0.1 und älter
  • Empfohlene Maßnahmen:
    • NetBackup-Primär- und -Medienserver: Upgrade auf 8.3.0.2 oder 9.0.0.1 oder 9.1.0.1 oder 10.0.0.1 und Anwendung des entsprechenden Hotfix.
    • NetBackup-Clients: nicht betroffen. Keine Maßnahmen erforderlich.
    • NetBackup Appliance: Upgrade auf eine der Wartungsversionen (Maintenance Release, MR) 3.3.0.2 oder 4.0.0.1 oder 4.1.0.1 oder 5.0.0.1 MR1 und Anwendung des entsprechenden Hotfix.
    • Flex Appliance: Wenden Sie bitte das NetBackup-Hotfix entsprechend der NetBackup-Container-Version auf Flex Appliances an.
    • Flex Scale: Bitte wenden Sie sich an den technischen Support von Veritas und beziehen Sie sich auf Wissensartikel-ID 100053006, um eine Korrektur zu erhalten.

Hinweise

Diese Sicherheitsempfehlung, VTS22-013, behebt zudem die in VTS22-004 und VTS22-011 identifizierten Probleme, die zuvor veröffentlicht wurden. Wenn Sie VTS22-004 oder VTS22-011noch nicht angewendet haben, ist es nicht notwendig, diese zuerst anzuwenden. Wenn Sie VTS22-004 oder VTS22-011 bereits angewendet haben, können Sie VTS22-013 einfach zusätzlich anwenden.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit dieser Sicherheitsempfehlung wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE

Danksagung

Veritas möchte sich bei den folgenden Airbus Security Team-Mitgliedern dafür bedanken, dass sie uns über die diese Probleme informiert haben: Mouad Abouhali, Benoî Camredon, Nicholas Devillers, Anaïs Gantet und Jean-Romain Garnier.

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN. ALLE ZUKUNFTWEISENDEN HINWEISE AUF PLÄNE FÜR PRODUKTE SIND VORLÄUFIG UND SÄMTLICHE ZUKÜNFTIGEN VERÖFFENTLICHUNGSTERMINE SIND UNVERBINDLICH UND KÖNNEN GEÄNDERT WERDEN. JEDE ZUKÜNFTIGE VERSION DES PRODUKTS ODER GEPLANTE ÄNDERUNGEN AN PRODUKTFÄHIGKEITEN ODER -FUNKTIONEN UNTERLIEGEN DER FORTLAUFENDEN EVALUIERUNG DURCH VERITAS. DIESE ÄNDERUNGEN MÜSSEN ABER NICHT IMPLEMENTIERT WERDEN. SIE SOLLTEN NICHT ALS FESTE ZUSAGEN DURCH VERITAS ANGESEHEN WERDEN UND NICHT ALS VERBINDLICH BEI DER ENTSCHEIDUNG BETRACHTET WERDEN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054