Revisioni

1.0: 18 marzo 2019: versione iniziale
1.1: 19 marzo 2019: aggiunti ID CVE

Riepilogo

Vulnerabilità multiple nell'appliance Veritas NetBackup.

Problema Descrizione Gravità Versione corretta
1 Password SMTP visualizzata dall'amministratore Media EEB di marzo 2019
2 Password del server proxy visualizzata dall'amministratore Media EEB di marzo 2019

 

Problemi

Problema n. 1

Password SMTP visualizzata dall'amministratore.

ID CVE: CVE-2019-9868
Gravità: Media
Punteggio base CVSS v3: 6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)

Quando si utilizza la console Web dell'appliance NetBackup, se in precedenza è stata configurata una password SMTP, l'amministratore può recuperare tale password dell'account se ne è stata specificata una, anche se SMTP non è attualmente attivo. Ciò rende visibili le credenziali complete dell'account all'amministratore, che può così accedere al server SMTP per altri scopi, ad esempio per modificare la password e impedire all'appliance di inviare e-mail.

Prodotti interessati

  • Appliance NetBackup, versioni 3.1.2, 3.1.1, 3.1, 3.0, 2.7.3 e probabilmente altre versioni precedenti e non supportate senza EEB di marzo 2019 installato

 

Problema n. 2

Password del server proxy visualizzata dall'amministratore.

ID CVE: CVE-2019-9867
Gravità: Media
Punteggio base CVSS v3: 6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)

Quando si utilizza la console Web dell'appliance NetBackup, se in precedenza è stata configurata una password del server proxy, l'amministratore può recuperare tale password dell'account anche se Call Home o il server proxy non sono attualmente attivi. Ciò rende visibili le credenziali complete dell'account all'amministratore, che può così accedere al server proxy per altri scopi, ad esempio per modificare la password e impedire all'appliance di utilizzare il server.

Nota: per le versioni 3.11 e 3.12 dell'appliance NetBackup, viene visualizzato un messaggio "<saved>" al posto della password effettiva, tuttavia è possibile comunque visualizzare la password nel codice HTML della pagina.


Prodotti interessati

  • Appliance NetBackup, versioni 3.1.2, 3.1.1, 3.1, 3.0, 2.7.3 e probabilmente altre versioni precedenti e non supportate senza EEB di marzo 2019 installato

 

Riferimenti

 

Domande

In caso di domande relative alle informazioni contenute nel presente avviso sulla sicurezza, contattare il supporto tecnico di Veritas.

 

Best Practice

Come parte delle comuni best practice, Veritas consiglia ai clienti di:

  • Limitare l'accesso a sistemi di amministrazione o di gestione agli utenti privilegiati.
  • Limitare l'accesso remoto, se necessario, solo su sistemi attendibili/autorizzati.
  • Mantenere aggiornati sistemi operativi e applicazioni aggiornate con le patch più recenti del fornitore.
  • Seguire un approccio multilivello verso la sicurezza. Eseguire applicazioni firewall e anti-malware, come requisito minimo, per fornire più punti di rilevamento e protezione per le minacce in entrata e in uscita.
  • Distribuire i sistemi di rilevazione delle intrusioni basato su host o sulla rete per monitorare il traffico di rete alla ricerca di eventuali segnali di attività anomale o sospette. Questa opzione potrebbe aiutare a rilevare attacchi o attività dannose correlate allo sfruttamento di vulnerabilità latenti

 

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. Veritas Technologies LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043

http://www.veritas.com/

 

© 2019 Veritas Technologies LLC. Tutti i diritti riservati. Veritas, il logo Veritas e NetBackup sono marchi o marchi registrati di Veritas Technologies LLC o delle sue consociate negli Stati Uniti e in altri paesi. Gli altri nomi possono essere marchi dei rispettivi proprietari.