HotFix für Sicherheitslücken, die NetBackup-Clients betreffen

Bisherige Aktualisierungen

• 1.0: 18. Juli 2022: Erstfassung

Zusammenfassung

Veritas hat zwei Sicherheitslücken geschlossen, die NetBackup-Clients betreffen.

Probleme

Problem Nr. 1: Ausführung beliebiger Befehle

Der NetBackup-Client erlaubt die Ausführung beliebiger Befehle von Remote-Hosts, die Zugriff auf gültige Host-IDs/NetBackup-Zertifikate/private Schlüssel von derselben Domäne haben.

• CVE ID: CVE-2022-36956
• Schweregrad: kritisch
• CVSS v3.1 Base Score: 9.0 (AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)
• Betroffene Versionen: 9.0.x, 9.1.x
• Empfohlene Maßnahmen:
  • Upgrade des NBU-Clients auf 10.0 – kein HotFix erforderlich, oder
  • Upgrade des NBU-Clients auf 9.1.0.1 und Anwendung von VTS22-008 – HotFix für Sicherheitslücken, die NetBackup-Clients der Version 9.1.0.1 betreffen (ETrack 4066508), oder
  • Upgrade des NBU-Clients auf 9.0.0.1 und Anwendung von VTS22-008 – HotFix für Sicherheitslücken, die NetBackup-Clients der Version 9.0.0.1 betreffen (ETrack 4067247), oder
  • Für NBU-Client-Versionen 8.3.x und älter – nicht betroffen – nicht zutreffend
    

Problem Nr. 2: Eskalation von Berechtigungen

Ein Angreifer mit unbefugtem lokalen Zugriff auf einen NetBackup-Client kann bestimmte Befehle senden, um seine Berechtigungen zu eskalieren.

• CVE ID: CVE-2022-36955
• Schweregrad: hoch
• CVSS v3.1 Base Score: 7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
• Betroffene Versionen: 9.1.x, 9.0.x, 8.3.x, 8.2 und älter
• Empfohlene Maßnahmen:
  • Upgrade des NBU-Clients auf 10.0 – kein HotFix erforderlich, oder
  • Upgrade des NBU-Clients auf 9.1.0.1 und Anwendung von VTS22-008 – HotFix für Sicherheitslücken, die NetBackup-Clients der Version 9.1.0.1 betreffen (ETrack 4066508), oder
  • Upgrade des NBU-Clients auf 9.0.0.1 und Anwendung von VTS22-008 – HotFix für Sicherheitslücken, die NetBackup-Clients der Version 9.0.0.1 betreffen (ETrack 4067247), oder
  • Upgrade des NBU-Clients auf 8.3.0.2 und Anwendung von VTS22-008 – HotFix für Sicherheitslücken, die NetBackup-Clients der Version 8.3.0.2 betreffen (ETrack 4066512), oder
  • Für NBU-Client-Version 8.2: Anwendung von VTS22-008 – HotFix für Sicherheitslücken, die NetBackup-Clients der Version 8.2 betreffen (ETrack 4068828)
  • Für NBU-Client-Version 8.1.2: Anwendung von VTS22-008 – HotFix für Sicherheitslücken, die NetBackup-Clients der Version 8.1.2 betreffen (ETrack 4071637)

Hinweise

Die entsprechenden Korrekturen für Primär- und Medienserver für diese Sicherheitslücken wurden in der Sicherheitsempfehlung für VTS22-004 angegangen.

Danksagung

Veritas möchte sich bei den folgenden Airbus Security Team-Mitgliedern dafür bedanken, dass sie uns über Problem 2 informiert haben: Mouad Abouhali, Benoit Camredon, Nicholas Devillers, Anais Gantet und Jean-Romain Garnier.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit dieser Sicherheitslücke wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support)

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC 2625

Augustine Drive

Santa Clara, CA 95054