개정 내역
- 1.0: 2022년 4월 1일: 초기 버전
- 2.0: 2022년 4월 8일: Access BYOS 및 InfoScale VEA가 취약점이 없는 것으로 추가됨
- 3.0: 2022년 4월 22일: 조치 권장 사항과 함께 여러 어플라이언스 제품이 추가됨
요약
JDK 9 이상에서의 데이터 결합을 통한 Spring Framework 원격 코드 실행 취약점(CVE-2022-22965)이 여러 베리타스 어플라이언스 제품에서 식별되었습니다. 영향을 받는 베리타스 제품은 다음과 같습니다.
| 제품 | 취약점이 있는 버전 | 수정된 버전 | CVE ID | 조치 |
|---|---|---|---|---|
|
Access Appliance |
7.4.3/7.4.3.100/7.4.3.200 |
7.4.3.300 |
||
|
Flex Appliance |
1.3.x, 2.0, 2.0.1, 2.0.2, 2.1 |
2.0.2(핫픽스 포함) |
||
|
NetBackup Appliance/ |
4.0/4.0.0.1 MR1/4.0.0.1 MR2 |
4.0.0.1 MR3(핫픽스 포함) |
||
|
NetBackup Flex Scale Appliance |
2.1, 3.0 |
2.1 핫픽스 |
문제
위의 베리타스 제품에는 java JDK 9에서 실행되는 Spring Framework 애플리케이션이 포함되며 데이터 결합을 통한 원격 코드 실행(RCE)에 대한 취약점이 있을 수 있습니다.
심각도: 심각
CVSS v3.1 기본 점수 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Spring Framework 취약점은 OS 명령에 사용된 특수 요소의 부적절한 무력화(CWE-78)로 인한 것으로 이는 공격자가 임의의 악성 클래스를 로드할 수 있게 해 서버에서 악성 코드 실행을 가능하게 합니다.
조치
현재 유지 관리/지원 계약을 체결한 상태인 고객은 위의 테이블에 기재된 수정 버전 중 하나로 업데이트해야 합니다.
영향을 받지 않는 베리타스 제품
다음의 베리타스 제품에는 Spring Framework가 포함되지만, 현재 입수한 정보에 따르면 이 제품들은 이 취약점의 영향을 받지 않는 것으로 파악되고 있습니다. 베리타스에서는 이와 관련해 변경 사항이 있을 경우 이 커뮤니케이션을 업데이트할 것입니다.
| 제품 | 취약점 영향 | 설명 |
|---|---|---|
|
Access Appliance 7.4.2.x |
없음 |
JDK 9 이상을 사용하지 않음 |
|
CloudPoint |
없음 |
JDK 9 이상을 사용하지 않음 |
|
Data Insight |
없음 |
JDK 9 이상을 사용하지 않음 |
|
eDiscovery |
없음 |
JDK 9 이상을 사용하지 않음 |
|
NetBackup |
없음 |
JDK 9 이상을 사용하지 않음 |
|
NetBackup Appliance 3.x |
없음 |
JDK 9 이상을 사용하지 않음 |
|
NetBackup Appliance 5.x |
없음 |
Spring Framework 5.3.18을 사용함 |
|
NetBackup Virtual Appliance 3.x |
없음 |
JDK 9 이상을 사용하지 않음 |
|
NetBackup Virtual Appliance 5.x |
없음 |
Spring Framework 5.3.18을 사용함 |
|
NetBackup IT Analytics(이전 명칭 APTARE) |
없음 |
WAR 파일에서 Spring을 배포하지 않음 |
|
NetBackup OpsCenter |
없음 |
JDK 9 이상을 사용하지 않음 |
|
Veritas InfoScale Operations Manager(VIOM) |
없음 |
JDK 9 이상을 사용하지 않음 |
|
Veritas Resiliency Platform(VRP) |
없음 |
JDK 9 이상을 사용하지 않음 |
다음 베리타스 제품은 Spring Framework를 포함하지 않으며 이 취약점에 의해 영향을 받지 않습니다.
- Access BYOS
- Appliance Management Server(AMS)
- Backup Exec
- Desktop and Laptop Option
- Enterprise Vault
- Enterprise Vault.cloud
- InfoScale core stack(VCS / VM / FS)
- InfoScale Veritas Enterprise Administrator(VEA)
- NetBackup Recovery Vault
- NetBackup SaaS Protection
- Merge1
- Quick Assist
- Veritas Advanced Supervision
- Veritas System Recovery(VSR)
질문
이러한 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR)에 문의하시기 바랍니다.
면책 조항
이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다. Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054