VTS22-010

HotFix per Security Advisory relativo a client e server NetBackup

Cronologia delle revisioni

  • 1.0: fine settembre 2022 – Rilascio pubblico iniziale
  • 1.1: Marzo 2023 – Aggiunto il problema n. 3

Riepilogo

Veritas ha risolto alcune vulnerabilità relative ai server e ai client NetBackup.

Problemi

Problema 1: eliminazione arbitraria dei file

Un utente malintenzionato con accesso locale può eliminare file arbitrari sfruttando un Path traversal nel codice di registrazione pbx_exchange.

  • ID CVE:CVE-2022-42308
  • Gravità: critica
  • Punteggio base CVSS v3.1: 9.0 (AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H)
  • Versioni interessate: 8.2 e precedenti
  • Azioni consigliate:
    • Server NetBackup: eseguire l'upgrade alla versione 8.2 e applicare l'HotFix appropriato OPPURE eseguire l'upgrade alla versione 8.3.x o successiva.
    • Client NetBackup: eseguire l'upgrade alla versione 8.2 o 8.1.2 e applicare l'HotFix appropriato OPPURE eseguire l'upgrade alla versione 8.3.x o successiva.
    • Appliance NetBackup: eseguire l'upgrade alla versione 3.2 e applicare l'HotFix appropriato OPPURE eseguire l'upgrade alla versione 3.3.x o successiva.
    • Appliance Flex: applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup sulle appliance Flex
    • Flex Scale: non interessato.

Problema 2: Denial of service

Un utente malintenzionato con accesso locale può inviare un pacchetto manipolato appositamente a pbx_exchange durante la registrazione e causare l'arresto anomalo del processo pbx_exchange da parte di un'eccezione null-pointer.

  • ID CVE: CVE-2022-42306
  • Gravità: media
  • Punteggio base CVSS v3.1: 6.5 (AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H)
  • Versioni interessate: 8.2 e precedenti
  • Azioni consigliate:
    • Server NetBackup: eseguire l'upgrade alla versione 8.2 e applicare l'HotFix appropriato OPPURE eseguire l'upgrade alla versione 8.3.x o successiva.
    • Client NetBackup: eseguire l'upgrade alla versione 8.2 o 8.1.2 e applicare l'HotFix appropriato OPPURE eseguire l'upgrade alla versione 8.3.x o successiva.
    • Appliance NetBackup: eseguire l'upgrade alla versione 3.2 e applicare l'HotFix appropriato OPPURE eseguire l'upgrade alla versione 3.3.x o successiva.
    • Appliance Flex: applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup sulle appliance Flex
    • Flex Scale: non interessato.

Note

Questo Security Advisory, VTS22-010, risolve anche i problemi identificati in VTS22-008, rilasciato in precedenza. Se VTS22-008 non è stato ancora applicato, non è necessario applicarlo prima di installare l'advisory. Se VTS22-008 è già stato applicato, è possibile applicarvi in sicurezza VTS22-010 in aggiunta.

Domande

Per domande o problemi relativi a questa vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT)

Riconoscimenti

Veritas desidera ringraziare i membri del team Airbus Security elencati di seguito per aver segnalato i problemi 1 e 2:
Mouad Abouhali, Benoît Camredon, Nicholas Devillers, Anaïs Gantet e Jean-Romain Garnier.

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054