Überarbeitungen

1.0: 18. März 2019: ursprüngliche Version
1.1: 19. März 2019: CVE-IDs hinzugefügt

Zusammenfassung

Veritas NetBackup Appliance – mehrere Sicherheitslücken.

Problem Beschreibung Schweregrad Korrigierte Version
1 SMTP-Kennwort wird Administrator angezeigt Mittel März 2019 EEB
2 Proxy-Server-Kennwort wird Administrator angezeigt Mittel März 2019 EEB

 

Probleme

Problem Nr. 1

SMTP-Kennwort wird Administrator angezeigt.

CVE ID: CVE-2019-9868
Schweregrad: mittel
CVSS v3 Base Score: 6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)

Wenn bei der Verwendung der NetBackup Appliance-Webkonsole bereits zuvor ein SMTP-Kennwort für den Einsatz konfiguriert wurde, kann ein Administrator das Kennwort für das Konto, wenn eines angegeben wurde, selbst dann abrufen, wenn SMTP momentan nicht aktiv ist. Dadurch erlangt der Administrator die vollständigen Anmeldedaten für das Konto, was es ihm ermöglicht, den SMTP-Server für andere Zwecke zu nützen, z. B. zum Ändern des Kennworts, wodurch verhindert würde, dass die Appliance E-Mails sendet.

Betroffene Produkte

  • NetBackup Appliance 3.1.2, 3.1.1, 3.1, 3.0, 2.7.3 und möglicherweise frühere, nicht unterstützte Versionen ohne installierte EEBs von März 2019

 

Problem Nr. 2

Proxy-Server-Kennwort wird Administrator angezeigt.

CVE ID: CVE-2019-9867
Schweregrad: mittel
CVSS v3 Base Score: 6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)

Wenn bei der Verwendung der NetBackup Appliance-Webkonsole bereits zuvor ein Proxy-Server-Kennwort für den Einsatz konfiguriert wurde, kann ein Administrator das Kennwort für das Konto selbst dann abrufen, wenn Call Home oder der Proxy-Server momentan nicht aktiv sind. Dadurch erlangt der Administrator die vollständigen Anmeldedaten für das Konto, was es ihm ermöglicht, den Proxy-Server für andere Zwecke zu nützen, z. B. zum Ändern des Kennworts, wodurch verhindert würde, dass die Appliance den Proxy-Server verwendet.

Hinweis: Für NetBackup Appliance 3.1.1. und 3.1.2 wird "<saved>" statt des tatsächlichen Kennworts angezeigt, aber das Kennwort ist im HTML-Code der Seite zu finden.


Betroffene Produkte

  • NetBackup Appliance 3.1.2, 3.1.1, 3.1, 3.0, 2.7.3 und möglicherweise frühere, nicht unterstützte Versionen ohne installierte EEBs von März 2019

 

Referenzen

 

Fragen

Wenden Sie bei Fragen zu den Informationen in dieser Sicherheitsanweisung bitte an den technischen Support von Veritas.

 

Best Practices

Im Rahmen von Best Practices wird Folgendes Kunden von Veritas empfohlen:

  • Schränken Sie den Zugriff auf die Administration oder Verwaltung von Systemen für privilegierte Benutzer ein.
  • Schränken Sie den Remote-Zugriff bei Bedarf auf ausschließlich vertrauenswürdige/autorisierte Systeme ein.
  • Installieren Sie die neuesten Patches für alle Betriebssysteme und Anwendungen.
  • Folgen Sie einem mehrstufigen Sicherheitsansatz. Führen Sie mindestens die Firewall und Anti-Malware-Anwendungen aus, um mehrere Erkennungs- und Schutzpunkte für eingehende und ausgehende Bedrohungen bereitzustellen.
  • Stellen Sie netzwerk- und hostbasierte Angriffserkennungssysteme bereit, um den Netzwerkverkehr auf ungewöhnliche oder verdächtige Aktivitäten zu überwachen. Dies kann bei der Erkennung von Angriffen oder böswilligen Aktivitäten im Zusammenhang mit der Ausnutzung latenter Sicherheitslücken hilfreich sein.

 

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. Veritas Technologies LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043

http://www.veritas.com/

 

© 2019 Veritas Technologies LLC. Alle Rechte vorbehalten. Veritas, das Veritas-Logo und NetBackup sind Marken oder eingetragene Marken von Veritas Technologies LLC oder ihrer verbundenen Unternehmen in den USA oder in anderen Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein.