VTS22-010
针对影响 NetBackup 客户端和服务器的安全公告的热修补程序
修订历史记录
- 1.0:2022 年 9 月末 - 首次公开发布
- 1.1:2023 年 3 月 – 增加了问题 3
摘要
Veritas 解决了影响 NetBackup 服务器和客户端的漏洞。
问题
问题 1:任意文件删除
具有本地访问权限的攻击者可以在 pbx_exchange 注册代码中利用路径遍历来删除任意文件。
- CVE ID: CVE-2022-42308
- 严重性:严重
- CVSS v3.1 基础评分:9.0 (AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H)
- 受影响的版本:8.2 及更早版本
- 建议采取的措施:
- NetBackup 服务器:请升级到 8.2 并应用相应的热修补程序,或升级到 8.3.x 或更高版本。
- NetBackup 服务器:请升级到 8.2 或 8.1.2 并应用相应的热修补程序,或升级到 8.3.x 或更高版本。
- NetBackup Appliance:请升级到 3.2 并应用相应的热修补程序,或升级到 3.3.x 或更高版本。
- Flex Appliance:请在 Flex Appliance 上应用与 NetBackup 容器版本对应的 NetBackup 热修补程序
- Flex Scale:不受影响。
问题 2:拒绝服务
具有本地访问权限的攻击者可以在注册期间向 pbx_exchange 发送特制的数据包,并导致空指针异常,从而使 pbx_exchange 进程崩溃。
- CVE ID: CVE-2022-42306
- 严重性:中等
- CVSS v3.1 基础评分:6.5 (AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H)
- 受影响的版本:8.2 及更早版本
- 建议采取的措施:
- NetBackup 服务器:请升级到 8.2 并应用相应的热修补程序,或升级到 8.3.x 或更高版本。
- NetBackup 服务器:请升级到 8.2 或 8.1.2 并应用相应的热修补程序,或升级到 8.3.x 或更高版本。
- NetBackup Appliance:请升级到 3.2 并应用相应的热修补程序,或升级到 3.3.x 或更高版本。
- Flex Appliance:请在 Flex Appliance 上应用与 NetBackup 容器版本对应的 NetBackup 热修补程序
- Flex Scale:不受影响。
注意事项
本安全公告 VTS22-010 还解决了早些时候发布的在 VTS22-008 中发现的问题。如果您尚未应用 VTS22-008,则无需先应用 VTS22-008,只需安装该公告发布的修补程序即可。如果您已应用 VTS22-008,则可以在其基础上安全地应用 VTS22-010。
疑问
如有关于此漏洞的疑问或问题,请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)
鸣谢
Veritas 非常感谢以下 Airbus 安全团队成员告知我们问题 1 和 2 :
Mouad Abouhali、Benoît Camredon、Nicholas Devillers、Anaïs Gantet 和 Jean-Romain Garnier。
免责声明
本安全公告按“原样”提供,对于所有明示或暗示的条款、陈述和保证,包括任何适销性、针对特定用途的适用性或未侵权的暗示保证,均不提供任何担保,除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改,恕不另行通知。
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054