VTS23-013

Notifica curl e libcurl (CVE-2023-38545 e CVE-2023-38546)

Cronologia delle revisioni

  • 1.0: 11 ottobre 2023: versione iniziale
  • 1.1: 20 ottobre 2023: aggiornamento provvisorio
  • 1.2: 6 novembre 2023: aggiornamento provvisorio
  • 1.3: 28 novembre 2023: aggiornamento provvisorio
  • 1.4: 5 dicembre 2023: aggiornamento provvisorio
  • 1.5: 18 dicembre 2023: aggiornamento provvisorio

Prodotti: vedere lo stato riportato di seguito.

Riepilogo

Veritas è a conoscenza delle vulnerabilità di gravità elevata annunciate di recente in curl e libcurl (CVE-2023-38545). Tutti i team di sicurezza e sviluppo prodotti Veritas stanno valutando eventuali effetti sui prodotti Veritas.

Stato attuale della vulnerabilità per CVE-2023-38545 e CVE-2023-38546:

Prodotto Veritas Stato

Access Appliance

Interessato – Basso rischio (interessato solo se la deduplicazione dei dati Veritas o il client NBU sono configurati)

*Vedere le informazioni aggiuntive su NetBackup e Appliance riportate di seguito

Alta Archiving

Non vulnerabile

Alta Backup as a Service

Non vulnerabile

Alta Capture

Non vulnerabile

Alta Data Protection

Non vulnerabile

Alta eDiscovery

Non vulnerabile

Alta Recovery Vault

Non vulnerabile

Alta SaaS Protection

Non vulnerabile

Alta Surveillance

Non vulnerabile

Alta View

Non vulnerabile

Backup Exec

Non vulnerabile

Data Insight

Non vulnerabile

Desktop and Laptop Option

Interessato. Aggiornare alla versione 9.8.3 dal Download Center

eDiscovery Platform

Non vulnerabile

Enterprise Vault

Analisi in corso

InfoScale

Non vulnerabile

Merge1

Non vulnerabile

NetBackup

Interessato – Basso rischio

*Vedere le informazioni aggiuntive su NetBackup e Appliance riportate di seguito

NetBackup Appliance

Interessato – Basso rischio

*Vedere le informazioni aggiuntive su NetBackup e Appliance riportate di seguito

NetBackup Flex Appliance

Interessato – Basso rischio

*Vedere le informazioni aggiuntive su NetBackup e Appliance riportate di seguito

NetBackup Flex Scale

Interessato – Basso rischio

*Vedere le informazioni aggiuntive su NetBackup e Appliance riportate di seguito

NetBackup IT Analytics

Non vulnerabile

NetBackup OpsCenter

Non vulnerabile

NetBackup Quick Assist

Non vulnerabile

NetBackup Resiliency Platform

Non vulnerabile

NetBackup Self Service

Non vulnerabile

NetBackup Snapshot Manager

Basso rischio – **Vedere le note su NetBackup Snapshot Manager riportate di seguito

System Health Insights

Non vulnerabile

Veritas Advanced Supervision

Non vulnerabile

Veritas InfoScale Operations Manager (VIOM)

Non vulnerabile

Veritas System Recovery

Interessato. Aggiornare alla versione 23.2 dal Download Center

*Informazioni aggiuntive su NetBackup e Appliance:

Veritas NetBackup ritiene che la vulnerabilità CVE-2023-38545 rappresenti un rischio molto basso per i clienti. I clienti possono continuare a usare le versioni di NetBackup esistente. Ai clienti che pensano di trovarsi nelle condizioni di vulnerabilità indicate di seguito, si consiglia di eseguire l'upgrade di NetBackup alla versione 10.1.1 o successive, quindi di installare i file EEB applicabili per risolvere il problema. 

Le impostazioni predefinite di NetBackup non seguono il protocollo socks5h.

Per sfruttare questa vulnerabilità, gli aggressori devono essere in grado di:

  1. controllare le voci del server nella configurazione di NetBackup (bp.conf su Unix);
  2. controllare le variabili di ambiente dell'account in cui vengono eseguiti i servizi NetBackup.

Tali condizioni possono essere modificate solo dall'account amministratore, radice o di servizio.

Se si desidera richiedere un aggiornamento per sentirsi più sicuri, eseguire la seguente Azione consigliata:

Componenti interessati: server e client primari e dei contenuti multimediali

Versioni interessate: 8.3 e versioni successive

Azione consigliata:

Server NetBackup primario e dei contenuti multimediali: eseguire l'upgrade alle versioni 10.1.1, 10.2.0.1, o 10.3 e applicare l'HotFix appropriato dal Download Center.

Client NetBackup: eseguire l'upgrade alle versioni 10.1.1, 10.2.0.1, o 10.3 e applicare l'HotFix appropriato dal Download Center.

NetBackup Appliance: eseguire l'upgrade alla versione di manutenzione MR2 5.1.1 applicare l'HotFix appropriato dal Download Center.

Flex Appliance: eseguire l'upgrade del container NetBackup e applicare l'HotFix di NetBackup corrispondente alla versione del container NetBackup.

Access Appliance: eseguire l'upgrade alle versioni 8.1 o 8.1.100 (consigliata) applicare l'HotFix appropriato dai download di NetBackup 10.1.1.

Flex Scale: contattare il supporto tecnico di Veritas e fare riferimento a VTS23-013 per la correzione.

**Note su NetBackup Snapshot Manager:

Informazioni aggiuntive da RedHat: il difetto richiede la soddisfazione di diverse condizioni per diventare pericoloso e le possibilità che un aggressore ne tragga vantaggio sono basse. Anche se il bug venisse attivato, anche il rischio che l'inserimento di cookie venga eseguito per scopi nocivi è basso.

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il Supporto Tecnico Veritas (https://www.veritas.com/support/it_IT).

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE.  VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE.  LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054