NVP vProxy: Vulnerabilità di sicurezza rilevata nell'appliance NetWorker vProxy versione 4.3.0-46

I seguenti CVE sono stati recentemente rilevati come parte della scansione della sicurezza con Rapid 7:

• CVE-2023-3159

Un utilizzo dopo che è stato rilevato un problema gratuito nel driver/firewire in outbound_phy_packet_callback nel kernel Linux. In questo difetto, un utente malintenzionato locale con privilegi speciali può causare un utilizzo dopo un problema libero quando queue_event() non riesce.

• CVE-2023-2002

È stata trovata una vulnerabilità nell'implementazione dei socket HCI a causa di un controllo delle funzionalità mancante in net/bluetooth/hci_sock.c nel kernel Linux. Questo difetto consente a un utente malintenzionato di eseguire comandi di gestione non autorizzati, compromettendo la riservatezza, l'integrità e la disponibilità della comunicazione Bluetooth.

• CVE-2023-35001

Vulnerabilità di lettura/scrittura out-of-bound del kernel Linux; nft_byteorder i contenuti di registrazione delle VM non gestiti in modo non corretto quando CAP_NET_ADMIN si trova in qualsiasi namespace di utenti o di rete.

Le vulnerabilità di sicurezza descritte nei CVE sono già risolte in vProxy 4.3.0-49, che può essere rilasciato insieme a NetWorker 19.9.0.2. Eseguire l'aggiornamento a vProxy 4.3.0-49 una volta rilasciato.

Gli OBA vProxy sono disponibili per il download tramite la pagina del prodotto Dell Support NetWorker.

Per informazioni sull'aggiornamento, consultare i seguenti articoli Dell:

• 197385 KB, NVP vProxy: Come aggiornare l'appliance NVP vProxy utilizzando nsrvproxy_mgmt
• KB 22608, NVP-vProxy: Come aggiornare/reimplementare manualmente vProxy