VTS23-013
Notifica curl e libcurl (CVE-2023-38545 e CVE-2023-38546)
Cronologia delle revisioni
- 1.0: 11 ottobre 2023: versione iniziale
- 1.1: 20 ottobre 2023: aggiornamento provvisorio
- 1.2: 6 novembre 2023: aggiornamento provvisorio
- 1.3: 28 novembre 2023: aggiornamento provvisorio
- 1.4: 5 dicembre 2023: aggiornamento provvisorio
- 1.5: 18 dicembre 2023: aggiornamento provvisorio
Prodotti: vedere lo stato riportato di seguito.
Riepilogo
Veritas è a conoscenza delle vulnerabilità di gravità elevata annunciate di recente in curl e libcurl (CVE-2023-38545). Tutti i team di sicurezza e sviluppo prodotti Veritas stanno valutando eventuali effetti sui prodotti Veritas.
Stato attuale della vulnerabilità per CVE-2023-38545 e CVE-2023-38546:
Prodotto Veritas | Stato |
---|---|
Access Appliance |
Interessato – Basso rischio (interessato solo se la deduplicazione dei dati Veritas o il client NBU sono configurati) *Vedere le informazioni aggiuntive su NetBackup e Appliance riportate di seguito |
Alta Archiving |
Non vulnerabile |
Alta Backup as a Service |
Non vulnerabile |
Alta Capture |
Non vulnerabile |
Alta Data Protection |
Non vulnerabile |
Alta eDiscovery |
Non vulnerabile |
Alta Recovery Vault |
Non vulnerabile |
Alta SaaS Protection |
Non vulnerabile |
Alta Surveillance |
Non vulnerabile |
Alta View |
Non vulnerabile |
Backup Exec |
Non vulnerabile |
Data Insight |
Non vulnerabile |
Desktop and Laptop Option |
Interessato. Aggiornare alla versione 9.8.3 dal Download Center |
eDiscovery Platform |
Non vulnerabile |
Enterprise Vault |
Analisi in corso |
InfoScale |
Non vulnerabile |
Merge1 |
Non vulnerabile |
NetBackup |
Interessato – Basso rischio *Vedere le informazioni aggiuntive su NetBackup e Appliance riportate di seguito |
NetBackup Appliance |
Interessato – Basso rischio *Vedere le informazioni aggiuntive su NetBackup e Appliance riportate di seguito |
NetBackup Flex Appliance |
Interessato – Basso rischio *Vedere le informazioni aggiuntive su NetBackup e Appliance riportate di seguito |
NetBackup Flex Scale |
Interessato – Basso rischio *Vedere le informazioni aggiuntive su NetBackup e Appliance riportate di seguito |
NetBackup IT Analytics |
Non vulnerabile |
NetBackup OpsCenter |
Non vulnerabile |
NetBackup Quick Assist |
Non vulnerabile |
NetBackup Resiliency Platform |
Non vulnerabile |
NetBackup Self Service |
Non vulnerabile |
NetBackup Snapshot Manager |
Basso rischio – **Vedere le note su NetBackup Snapshot Manager riportate di seguito |
System Health Insights |
Non vulnerabile |
Veritas Advanced Supervision |
Non vulnerabile |
Veritas InfoScale Operations Manager (VIOM) |
Non vulnerabile |
Veritas System Recovery |
Interessato. Aggiornare alla versione 23.2 dal Download Center |
*Informazioni aggiuntive su NetBackup e Appliance:
Veritas NetBackup ritiene che la vulnerabilità CVE-2023-38545 rappresenti un rischio molto basso per i clienti. I clienti possono continuare a usare le versioni di NetBackup esistente. Ai clienti che pensano di trovarsi nelle condizioni di vulnerabilità indicate di seguito, si consiglia di eseguire l'upgrade di NetBackup alla versione 10.1.1 o successive, quindi di installare i file EEB applicabili per risolvere il problema.
Le impostazioni predefinite di NetBackup non seguono il protocollo socks5h.
Per sfruttare questa vulnerabilità, gli aggressori devono essere in grado di:
- controllare le voci del server nella configurazione di NetBackup (bp.conf su Unix);
- controllare le variabili di ambiente dell'account in cui vengono eseguiti i servizi NetBackup.
Tali condizioni possono essere modificate solo dall'account amministratore, radice o di servizio.
Se si desidera richiedere un aggiornamento per sentirsi più sicuri, eseguire la seguente Azione consigliata:
Componenti interessati: server e client primari e dei contenuti multimediali
Versioni interessate: 8.3 e versioni successive
Azione consigliata:
Server NetBackup primario e dei contenuti multimediali: eseguire l'upgrade alle versioni 10.1.1, 10.2.0.1, o 10.3 e applicare l'HotFix appropriato dal Download Center.
Client NetBackup: eseguire l'upgrade alle versioni 10.1.1, 10.2.0.1, o 10.3 e applicare l'HotFix appropriato dal Download Center.
NetBackup Appliance: eseguire l'upgrade alla versione di manutenzione MR2 5.1.1 applicare l'HotFix appropriato dal Download Center.
Flex Appliance: eseguire l'upgrade del container NetBackup e applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup.
Access Appliance: eseguire l'upgrade alle versioni 8.1 o 8.1.100 (consigliata) applicare l'HotFix appropriato dai download di NetBackup 10.1.1.
Flex Scale: contattare il supporto tecnico di Veritas e fare riferimento a VTS23-013 per la correzione.
**Note su NetBackup Snapshot Manager:
Informazioni aggiuntive da RedHat: il difetto richiede la soddisfazione di diverse condizioni per diventare pericoloso e le possibilità che un aggressore ne tragga vantaggio sono basse. Anche se il bug venisse attivato, anche il rischio che l'inserimento di cookie venga eseguito per scopi nocivi è basso.
Domande
Per domande o problemi relativi a queste vulnerabilità, contattare il Supporto Tecnico Veritas (https://www.veritas.com/support/it_IT).
Dichiarazione di non responsabilità
IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054