NVP vProxy: Sikkerhetssårbarhet oppdaget på NetWorker vProxy Appliance versjon 4.3.0-46

Følgende CVE-er ble nylig oppdaget som en del av sikkerhetsskanningen ved hjelp av Rapid 7:

• CVE-2023-3159

En bruk etter kostnadsfritt problem ble oppdaget i driver/firewire i outbound_phy_packet_callback i Linux-kjernen. I denne feilen kan en lokal angriper med spesielle rettigheter føre til bruk etter at problemet er ledig når queue_event() mislykkes.

• CVE-2023-2002

Det ble funnet et sikkerhetsproblem i implementeringen av HCI-kontakter på grunn av manglende funksjonskontroll i net/bluetooth/hci_sock.c i Linux-kjernen. Denne feilen gjør det mulig for en angriper uautorisert utførelse av administrasjonskommandoer, noe som går på bekostning av konfidensialiteten, integriteten og tilgjengeligheten til Bluetooth-kommunikasjon.

• CVE-2023-35001

Linux kernel nftables out-of-bounds lese-/skrivesårbarhet; nft_byteorder dårlig håndterte vm-registerinnhold når CAP_NET_ADMIN er i en hvilken som helst bruker eller et nettverksnavneområde.

Sikkerhetsproblemer som er beskrevet i CVE-ene, er allerede løst i vProxy 4.3.0-49, som kan utgis sammen med NetWorker 19.9.0.2. Oppdater til vProxy 4.3.0-49 når den lanseres.

vProxy OVA-er er tilgjengelige for nedlasting via produktsiden for Dell Support NetWorker.

Se følgende Dell-artikler for å få mer informasjon om oppgradering:

• KB 197385, NVP vProxy: Slik oppgraderer du NVP vProxy Appliance ved hjelp av nsrvproxy_mgmt
• KB 22608, NVP-vProxy: Slik oppgraderer du manuelt/redeploy vProxy