개정 내역

• 1.0: 2023년 3월 20일: 초기 버전
• 1.1: 2023년 3월 30일: CVE ID 추가

요약

Veritas NetBackup IT Analytics 애플리케이션 업그레이드 프로세스에 악용될 수 있는 서명되지 않은 파일이 포함되어 고객이 비인증 구성 요소를 설치하게 됩니다.

문제

• CVE ID: CVE-2023-28818
• 심각도: 중간
• CVSS v3.1 기본 점수 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

악의적인 행위자가 NetBackup IT Analytics 포털 서버에 가짜 Collector 실행 파일(aptare.jar, upgrademanager.zip)을 설치할 수 있어, Collector에서 이러한 파일이 다운로드 및 설치될 수 있습니다. (CWE-347: 부적절한 암호화 서명 검증)

필수 요건

악의적인 행위자가 비인증 구성 요소를 설치하려면 NetBackup IT Analytics 포털 서버에 대한 관리/루트 역할 액세스 권한이 있어야 합니다.

영향을 받는 버전

Veritas NetBackup IT Analytics 버전 11.1 및 11.0. 이전의 지원되지 않는 APTARE IT Analytics 버전도 영향을 받습니다.

조치

현재 유지 보수 계약이 적용되는 고객은 NetBackup IT Analytics 버전 11.2.0으로 업데이트해야 합니다.

이용 가능한 업데이트는 베리타스 다운로드 센터 https://www.veritas.com/support/ko_KR/downloads를 참조하십시오.

질문

이러한 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR)에 문의하시기 바랍니다.

면책 조항

이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다. Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054