리비전
1.0: 2019년 7월 29일: 최초 릴리스
1.1: 2019년 7월 30일: CVE ID가 추가됨
1.2: 2019년 7월 31일: 모든 문제에 대해 영향을 받는 버전이 수정됨, 문제 #4의 심각도가 수정됨
요약
Veritas Resiliency Platform(VRP)의 다양한 취약점
| 문제 | 설명 | 심각도 |
|---|---|---|
| 1 | 애플리케이션 번들 업로드와 관련된 디렉터리 통과 취약점 | 심각 |
| 2 | DNS 서버 구성과 관련된 근본 원인 권한 사용 임의 명령 실행 취약점 | 높음 |
| 3 | 복원력 계획 및 사용자 정의 스크립트와 관련된 루트 권한 사용 임의 명령 실행 취약점 | 높음 |
| 4 | 복원력 계획과 관련된 XSS 취약점 | 중간 |
문제
문제 #1
애플리케이션 번들 업로드 시 디렉터리 통과 취약점으로 인해 충분한 권한을 지닌 VRP 사용자가 VRP 가상 시스템의 파일을 덮어쓸 수 있습니다. 악의적인 VRP 사용자가 이를 이용하여 기존 파일을 대체해 VRP 가상 시스템을 제어할 수 있습니다.
CVE ID: CVE-2019-14415
심각도: 심각
CVSS v3 기본 점수: 9.1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
영향을 받는 제품
- VRP 3.3.2 HF14 이전의 모든 버전
문제 #2
임의 명령 실행 취약점으로 인해 악의적인 사용자가 DNS 기능과 관련하여 VPR 가상 시스템 내에서 루트 권한을 사용해 명령을 실행할 수 있습니다.
CVE ID: CVE-2019-14416
심각도: 높음
CVSS v3 기본 점수: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
영향을 받는 제품
- VRP 3.3.2 HF14 이전의 모든 버전
문제 #3
임의 명령 실행 취약점으로 인해 악의적인 사용자가 복원력 계획 및 사용자 정의 스크립트 기능과 관련하여 VPR 가상 시스템 내에서 루트 권한을 사용해 명령을 실행할 수 있습니다.
CVE ID: CVE-2019-14417
심각도: 높음
CVSS v3 기본 점수: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
영향을 받는 제품
- VRP 3.3.2 HF14 이전의 모든 버전
문제 #4
지속적인XSS(사이트 간 스크립팅) 취약점으로 인해 악의적인 VRP 사용자가 복원력 계획 기능과 관련하여 다른 사용자의 브라우저에 악성 스크립트를 주입할 수 있습니다.
CVE ID: CVE-2019-14418
심각도: 중간
CVSS v3 기본 점수: 5.9 (AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L)
영향을 받는 제품
- VRP 3.3.2 HF14 이전의 모든 버전
질문
이 보안 권고 정보에 대해 궁금한 사항이 있는 경우 베리타스 기술 지원에 문의하십시오.
베스트 프랙티스
일반적인 베스트 프랙티스로 베리타스는 고객에게 다음을 권장합니다.
- 인증된 사용자로 관리 또는 관리 시스템 액세스를 제한하십시오.
- 필요한 경우, 신뢰할 수 있는/인증된 시스템으로만 원격 액세스를 제한하십시오.
- 모든 운영 체제 및 애플리케이션을 최신 공급업체 패치로 지속적으로 업데이트하십시오.
- 계층적 보안 접근 방식을 따르십시오. 방화벽과 멀웨어 차단 애플리케이션을 모두 최소한으로 실행하여 인바운드 및 아웃바운드 위협에 대한 여러 탐지 및 보호 지점을 제공합니다.
- 네트워크 및 호스트 기반 침입 탐지 시스템을 배포하여 네트워크 트래픽의 비정상적이거나 의심스러운 활동 징후를 모니터링하십시오. 이는 잠재적 취약점의 악용과 관련된 의심스러운 활동이나 공격을 탐지하는 데 도움이 됩니다.
면책 조항
이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다. Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054
© 2019 Veritas Technologies LLC. All rights reserved. 베리타스, 베리타스 로고, NetBackup은 미국 및 기타 국가에서 Veritas Technologies LLC 또는 그 자회사의 상표 또는 등록 상표입니다. 다른 이름은 해당 소유자의 상표일 수 있습니다.