Überarbeitungen

1.0: 26. Oktober 2018: ursprüngliches Version
1.1: 20. November 2018: korrigierte Zusammenfassung
1.2: 18. Januar 2019: Link mit Gegenmaßnahmen wurde hinzugefügt

Zusammenfassung

Sicherheitslücke bei der Ausführung von Remote-Befehlen in Veritas NetBackup Appliance.

Probleme

Problem Nr. 1

Sicherheitslücke bei der Ausführung von Remote-Befehlen in Veritas NetBackup Appliance, die es authentifizierten Administratoren ermöglicht, beliebige Befehle als Root auszuführen. Dieses Problem wurde durch unzureichende Filterung der Benutzereingaben verursacht.

CVE-ID: CVE-2018-18652
Schweregrad: Hoch
CVSS v3-Basisbewertung: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

Wichtige Punkte:

• Ein böswilliger Administrator könnte diese Sicherheitslücke z. B. zum Löschen oder Ändern von gesicherten Daten nutzen, ohne dass diese Änderung erkannt wird, oder zu anderen Zwecken wie beispielsweise zum Installieren von Malware auf der Appliance.
• Diese Sicherheitslücke betrifft nur die Administratorkonten auf der Appliance, nicht die Benutzerkonten.
  
• Diese Sicherheitslücke betrifft nur die NetBackup Appliance, nicht NetBackup.
  

Betroffene Produkte

• NetBackup Appliance 3.1.1 und älter

Gegenmaßnahmen

• Es gibt eine Gegenmaßnahme zur Behebung dieses Problems. Weitere Informationen finden Sie hier.

Fragen

Wenden Sie bei Fragen zu den Informationen in dieser Sicherheitsanweisung bitte an den technischen Support von Veritas.

Best Practices

Im Rahmen von Best Practices wird Folgendes Kunden von Veritas empfohlen:

• Schränken Sie den Zugriff auf die Administration oder Verwaltung von Systemen für privilegierte Benutzer ein.
• Schränken Sie den Remote-Zugriff bei Bedarf auf ausschließlich vertrauenswürdige/autorisierte Systeme ein.
• Installieren Sie die neuesten Patches für alle Betriebssysteme und Anwendungen.
• Folgen Sie einem mehrstufigen Sicherheitsansatz. Führen Sie mindestens die Firewall und Anti-Malware-Anwendungen aus, um mehrere Erkennungs- und Schutzpunkte für eingehende und ausgehende Bedrohungen bereitzustellen.
• Stellen Sie netzwerk- und hostbasierte Angriffserkennungsysteme bereit, um den Netzwerkverkehr auf ungewöhnliche oder verdächtige Aktivitäten zu überwachen. Dies kann bei der Erkennung von Angriffen oder böswilligen Aktivitäten im Zusammenhang mit der Ausnutzung latenter Sicherheitslücken hilfreich sein.

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIEẞT JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIEẞLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. Veritas Technologies LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043

http://www.veritas.com/

© 2017 Veritas Technologies LLC. Alle Rechte vorbehalten. Veritas, das Veritas-Logo und NetBackup sind Marken oder eingetragene Marken von Veritas Technologies LLC oder ihrer verbundenen Unternehmen in den USA oder in anderen Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein.