Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en NetBackup Snapshot Manager de Veritas (CVE-2023-40256)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-295 Validación incorrecta de certificados
Fecha de publicación:
11/08/2023
Última modificación:
18/08/2023

Descripción

Se descubrió una vulnerabilidad en Veritas NetBackup Snapshot Manager anterior a 10.2.0.1 que permitía a clientes no confiables interactuar con el servicio RabbitMQ. Esto se debía a una validación incorrecta del certificado del cliente debido a una configuración incorrecta del servicio RabbitMQ. Explotar esto afecta a la confidencialidad e integridad de los mensajes que controlan los trabajos de copia de seguridad y restauración, y podría provocar que el servicio dejara de estar disponible. Esto sólo afecta a los trabajos que controlan las actividades de copia de seguridad y restauración, y no permite el acceso a (o la eliminación de) los propios datos de instantáneas de copia de seguridad. Esta vulnerabilidad se limita a la función Snapshot Manager de NetBackup y no afecta a la instancia de RabbitMQ en los servidores primarios de NetBackup.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:veritas:netbackup_snapshot_manager:*:*:*:*:*:*:*:* 8.3.0.2 (incluyendo)
cpe:2.3:a:veritas:netbackup_snapshot_manager:9.0:*:*:*:*:*:*:*
cpe:2.3:a:veritas:netbackup_snapshot_manager:9.1:*:*:*:*:*:*:*
cpe:2.3:a:veritas:netbackup_snapshot_manager:9.1.0.1:*:*:*:*:*:*:*
cpe:2.3:a:veritas:netbackup_snapshot_manager:10.0:*:*:*:*:*:*:*
cpe:2.3:a:veritas:netbackup_snapshot_manager:10.0.0.1:-:*:*:*:*:*:*
cpe:2.3:a:veritas:netbackup_snapshot_manager:10.1:*:*:*:*:*:*:*
cpe:2.3:a:veritas:netbackup_snapshot_manager:10.1.1:-:*:*:*:*:*:*
cpe:2.3:a:veritas:netbackup_snapshot_manager:10.2:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información