Historial de revisión
- 1.0: 1 de abril de 2022: versión inicial
- 2.0: 8 de abril de 2022: se agregaron Access BYOS e InfoScale VEA como no vulnerables
- 3.0: 22 de abril de 2022: se agregaron varios productos Appliance con recomendaciones de reparación
Resumen
La vulnerabilidad de ejecución remota de código de Spring Framework a través del enlace de datos en JDK 9+ (CVE-2022-22965) se ha identificado en varios productos Appliance de Veritas. Los siguientes productos Veritas están afectados:
| Producto | Versiones vulnerables | Versiones reparadas | Id. de CVE | Reparación |
|---|---|---|---|---|
|
Access Appliance |
7.4.3/7.4.3.100/7.4.3.200 |
7.4.3.300 |
||
|
Flex Appliance |
1.3.x, 2.0, 2.0.1, 2.0.2, 2.1 |
2.0.2 c/corrección |
||
|
NetBackup Appliance/ |
4.0/4.0.0.1 MR1/4.0.0.1 MR2 |
4.0.0.1 MR3 c/corrección |
||
|
NetBackup Flex Scale Appliance |
2.1, 3.0 |
Corrección 2.1 |
Problema
Los productos Veritas anteriores incluyen aplicaciones Spring Framework que se ejecutan en java JDK 9 y pueden ser vulnerables a la ejecución remota de código (RCE) a través del enlace de datos.
Gravedad: crítica
Puntuación base CVSS v3.1: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
La vulnerabilidad de Spring Framework se debe a la neutralización incorrecta de elementos especiales utilizados en un comando de SO (CWE-78) que permite al atacante cargar una clase maliciosa arbitraria, lo que da lugar a la posible ejecución de un código malicioso en el servidor.
Reparación
Los clientes que tienen un contrato de mantenimiento/soporte vigente deben actualizar a una de las versiones fijas identificadas en la tabla anterior.
Productos Veritas no afectados
Los siguientes productos Veritas incluyen Spring Framework, sin embargo, según la información disponible actualmente, no parece que esta vulnerabilidad pueda infringir estos productos Veritas. Veritas actualizará esta comunicación en caso de haber cambios al respecto.
| Producto | Vulnerable | Comentarios |
|---|---|---|
|
Access Appliance 7.4.2.x |
No |
No usa JDK >= 9 |
|
CloudPoint |
No |
No usa JDK >= 9 |
|
Data Insight |
No |
No usa JDK >= 9 |
|
eDiscovery |
No |
No usa JDK >= 9 |
|
NetBackup |
No |
No usa JDK >= 9 |
|
NetBackup Appliance 3.x |
No |
No usa JDK >= 9 |
|
NetBackup Appliance 5.x |
No |
Usa Spring Framework 5.3.18 |
|
NetBackup Virtual Appliance 3.x |
No |
No usa JDK >= 9 |
|
NetBackup Virtual Appliance 5.x |
No |
Usa Spring Framework 5.3.18 |
|
NetBackup IT Analytics (anteriormente APTARE) |
No |
No distribuye Spring en un archivo WAR |
|
NetBackup OpsCenter |
No |
No usa JDK >= 9 |
|
Veritas InfoScale Operations Manager (VIOM) |
No |
No usa JDK >= 9 |
|
Veritas Resiliency Platform (VRP) |
No |
No usa JDK >= 9 |
Los siguientes productos Veritas no incluyen Spring Framework y no están afectados por esta vulnerabilidad:
- Access BYOS
- Appliance Management Server (AMS)
- Backup Exec
- Desktop and Laptop Option
- Enterprise Vault
- Enterprise Vault.cloud
- InfoScale core stack (VCS / VM / FS)
- InfoScale Veritas Enterprise Administrator (VEA)
- NetBackup Recovery Vault
- NetBackup SaaS Protection
- Merge1
- Quick Assist
- Veritas Advanced Supervision
- Veritas System Recovery (VSR)
Preguntas
Si tiene preguntas o problemas relacionados con estas vulnerabilidades, comuníquese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES)
Renuncia de responsabilidad
EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054