VTS23-011

Vulnerabilità di bypass dell'autenticazione di NetBackup Snapshot Manager RabbitMQ

Cronologia delle revisioni

  • 1.0: 26 luglio 2023: versione iniziale
  • 1.1: 28 luglio 2023: aggiornamento della descrizione del problema
  • 1.2: 25 agosto 2023: aggiunto l'ID CVE

Riepilogo

Su Veritas NetBackup Snapshot Manager è stata rilevata una vulnerabilità che consentiva a client non affidabili di interagire con il servizio RabbitMQ. 

Problema

La vulnerabilità era causata dall'errata convalida del certificato del client, dovuta a sua volta dalla configurazione non corretta del servizio RabbitMQ. Lo sfruttamento di questa vulnerabilità interessa la riservatezza e l'integrità dei messaggi che controllano i backup e i processi di ripristino e potrebbe interrompere il servizio. Questa vulnerabilità interessa solo i processi che controllano le attività di backup e ripristino e non consente l'accesso ai dati da backup di istantanee, né la loro eliminazione. Inoltre, è limitata alla funzionalità NetBackup Snapshot Manager e non interessa l'istanza di RabbitMQ nei server primari NetBackup.

Versioni interessate

Veritas NetBackup Snapshot Manager versioni 8.3.0.1, 8.3.0.2, 9.0, 9.1, 9.1.0.1, 10.0, 10.0.0.1, 10.1, 10.1.1, 10.2. Potrebbero essere interessate anche versioni precedenti non supportate dell'applicazione Veritas NetBackup CloudPoint.

Riparazione

Si consiglia ai clienti con un contratto di manutenzione attivo di aggiornare a NetBackup Snapshot Manager come descritto di seguito:

  • Eseguire l'upgrade alla versione 10.2.0.1 (consigliata)
  • Distribuire Hotfix 10.1.1 (l'upgrade alla versione 10.1.1 è un prerequisito)
  • Distribuire Hotfix 10.0.0.1 (l'upgrade alla versione 10.0.0.1 è un prerequisito)

Cercare nel Veritas Download Center gli aggiornamenti disponibili: https://www.veritas.com/support/it_IT/downloads

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT).

Riconoscimenti

Veritas desidera ringraziare Palindrome Technologies per la responsabilità dimostrata nel segnalarci questo problema.

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE.  VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE.  LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054