Histórico de Revisões

  • 1.0: 1º de abril de 2022: Versão inicial
  • 2.0: 8 de abril de 2022: Access BYOS e InfoScale VEA adicionados como não vulneráveis
  • 3.0: 22 de abril de 2022: Adicionados vários produtos de appliance com recomendações de correção

Resumo

A vulnerabilidade Execução de Código Remoto do Strping Frameword via Vinculação de Dados no JDK 9+ (CVE-2022-22965) foi identificada em vários produtos de appliance da Veritas. Os seguintes produtos Veritas foram afetados:

Produto Versões vulneráveis Versões corrigidas ID da CVE Correção

Access Appliance

7.4.3/7.4.3.100/7.4.3.200

7.4.3.300

CVE-2022-22965

Artigo 100052919

Flex Appliance

1.3.x, 2.0, 2.0.1, 2.0.2, 2.1

2.0.2 c/ hot fix
2.1 c/ hot fix

CVE-2022-22965

Artigo 100052862

NetBackup Appliance/
NetBackup Virtual Appliance

4.0/4.0.0.1 MR1/4.0.0.1 MR2
4.0.0.1 MR3
4.1/4.1.0.1 MR1
4.1.0.1 MR2

4.0.0.1 MR3 c/ hot fix
4.1.0.1 MR2 c/ hot fix
5.0

CVE-2022-22965

Artigo 100052910

NetBackup Flex Scale Appliance

2.1, 3.0

Hot fix para 2.1
Hot fix para 3.0

CVE-2022-22965

Artigo 100052911

Problema

Os produtos Veritas acima incluem aplicativos Spring Framework executados em Java JDK 9 e podem ser vulneráveis a execução de código remoto (RCE) via vinculação de dados.

Gravidade: Importante
CVSS v3.1 Pontuação básica: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

A vulnerabilidade do Spring Framework se deve à neutralização imprópria de elementos especiais usados em um comando do SO (CWE-78) que permite que u invasor carregue uma classe perigosa arbitrária, resultando em uma possível execução de código malicioso no servidor.

Correção

Clientes com contrato de manutenção ou suporte em vigor devem atualizar para uma das versões corrigidas identificadas na tabela acima.

Produtos Veritas não afetados

Os produtos Veritas a seguir incluem o Spring Framework, mas, com base nas informações disponíveis no momento, acreditamos que eles não sejam afetados por essa vulnerabilidade. A Veritas atualizará este comunicado caso haja qualquer alteração relacionada.

Produto Vulnerável Comentários

Access Appliance 7.4.2.x

Não

Não usa o JDK na versão 9 ou mais recente

CloudPoint

Não

Não usa o JDK na versão 9 ou mais recente

Data Insight

Não

Não usa o JDK na versão 9 ou mais recente

eDiscovery

Não

Não usa o JDK na versão 9 ou mais recente

NetBackup

Não

Não usa o JDK na versão 9 ou mais recente

NetBackup Appliance 3.x

Não

Não usa o JDK na versão 9 ou mais recente

NetBackup Appliance 5.x

Não

Usa Spring Framework 5.3.18

NetBackup Virtual Appliance 3.x

Não

Não usa o JDK na versão 9 ou mais recente

NetBackup Virtual Appliance 5.x

Não

Usa Spring Framework 5.3.18

NetBackup IT Analytics (antigo APTARE)

Não

Não distribui o Spring em um arquivo WAR

NetBackup OpsCenter

Não

Não usa o JDK na versão 9 ou mais recente

Veritas InfoScale Operations Manager (VIOM)

Não

Não usa o JDK na versão 9 ou mais recente

Veritas Resiliency Platform (VRP)

Não

Não usa o JDK na versão 9 ou mais recente

Os produtos Veritas a seguir não incluem o Spring Framework e, portanto, não são afetados por essa vulnerabilidade.

  • Access BYOS
  • Appliance Management Server (AMS)
  • Backup Exec
  • Desktop and Laptop Option
  • Enterprise Vault
  • Enterprise Vault.cloud
  • InfoScale core stack (VCS / VM / FS)
  • InfoScale Veritas Enterprise Administrator (VEA)
  • NetBackup Recovery Vault
  • NetBackup SaaS Protection
  • Merge1
  • Quick Assist
  • Veritas Advanced Supervision
  • Veritas System Recovery (VSR)

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054