Revisioni

1.0: 29 luglio 2019: release iniziale
1.1: 30 luglio 2019: aggiunti ID CVEs
1.2: 31 luglio 2019: correzione di tutti gli errori nelle versioni interessate, corretta gravità per essore #4

 

Riepilogo

Diverse vulnerabilità in Veritas Resiliency Platform (VRP)

Problema Descrizione Gravità
1 Vulnerabilità trasversale delle directory correlata al caricamento di bundle dell'applicazione Critica
2 Vulnerabilità di esecuzione dei comandi arbitraria con privilegio root correlata alla configurazione del server DNS Alta
3 Vulnerabilità di esecuzione dei comandi arbitraria con privilegio root correlata ai piani di resilienza e agli script personalizzati Alta
4 Vulnerabilità XSS correlata ai piani di resilienza Media

 

Problemi

Problema n. 1

Al caricamento di un bundle dell'applicazione, una vulnerabilità trasversale delle directory consente a un utente VRP con privilegi sufficienti di sovrascrivere qualsiasi file presente sulla macchina virtuale VRP. Un utente VRP malintenzionato potrebbe usare questa vulnerabilità per sostituire i file esistenti e assumere il controllo della macchina virtuale VRP.

CVE ID: CVE-2019-14415
Gravità: critica
Punteggio base CVSS v3: 9.1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)

Prodotti interessati

  • Tutte le versioni precedenti a VRP 3.3.2 HF14

 

Problema n. 2

Una vulnerabilità di esecuzione dei comandi arbitraria consente a un utente VRP malintenzionato di eseguire comandi con privilegio root all'interno della macchina virtuale VRP, relativamente alla funzionalità DNS.

CVE ID: CVE-2019-14416
Gravità: alta
Punteggio base CVSS v3: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

Prodotti interessati

  • Tutte le versioni precedenti a VRP 3.3.2 HF14

 

Problema n. 3

Una vulnerabilità di esecuzione dei comandi arbitraria consente a un utente VRP malintenzionato di eseguire comandi con privilegio root all'interno della macchina virtuale VRP, relativamente alla funzionalità DNS.

CVE ID: CVE-2019-14417
Gravità: alta
CVSS v3 Punteggio base: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

Prodotti interessati

  • Tutte le versioni precedenti a VRP 3.3.2 HF14

 

Problema n. 4

Una vulnerabilità di scripting fra siti persistente (XSS) consente a un utente VRP malintenzionato di inserire script pericoloro nel browser di un altro utente, relativamente alla funzionalità dei piani di resilienza.

CVE ID: CVE-2019-14418
Gravità: media
Punteggio di base CVSS v3: 5.9 (AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L)

Prodotti interessati

  • Tutte le versioni precedenti a VRP 3.3.2 HF14

Domande

In caso di domande relative alle informazioni contenute nel presente avviso sulla sicurezza, contattare il supporto tecnico di Veritas.

 

Best Practice

Come parte delle comuni best practice, Veritas consiglia ai clienti di:

  • Limitare l'accesso a sistemi di amministrazione o di gestione agli utenti privilegiati.
  • Limitare l'accesso remoto, se necessario, solo a sistemi attendibili/autorizzati.
  • Mantenere aggiornati sistemi operativi e applicazioni con le patch più recenti del fornitore.
  • Seguire un approccio multilivello per la sicurezza. Eseguire applicazioni firewall e anti-malware, come requisito minimo, per fornire più punti di rilevamento e protezione per le minacce in entrata e in uscita.
  • Distribuire i sistemi di rilevazione delle intrusioni basati su host o sulla rete per monitorare il traffico di rete alla ricerca di eventuali segnali di attività anomale o sospette. Questa opzione potrebbe aiutare a rilevare attacchi o attività dannose correlate allo sfruttamento di vulnerabilità latenti

 

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. Veritas Technologies LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC,
2625 Augustine Drive,
Santa Clara, CA 95054

http://www.veritas.com

 

© 2019 Veritas Technologies LLC. Tutti i diritti riservati. Veritas, il logo Veritas e NetBackup sono marchi o marchi registrati di Veritas Technologies LLC o delle sue consociate negli Stati Uniti e in altri paesi. Gli altri nomi possono essere marchi dei rispettivi proprietari.