Revisões
1.0: 26 de outubro de 2018: versão inicial
1.1: 20 de novembro de 2018: resumo corrigido
1.2: 18 de janeiro de 2019: adicionado link para atenuação
Resumo
Vulnerabilidade na execução de comandos remotos no Veritas Appliance NetBackup.
| Problema | Descrição | Gravidade | Versão corrigida |
|---|---|---|---|
1 |
Vulnerabilidade na execução de comandos remotos no Appliance NetBackup |
Alta |
Appliance NetBackup: 3.1.2 |
Problemas
Problema 1
Vulnerabilidade na execução de comandos remotos no Veritas NetBackup Appliance que permite aos administradores autenticados executar comandos arbitrários como raiz. Esse problema foi causado por filtragem insuficiente de entradas do usuário.
ID do CVE: CVE-2018-18652
Gravidade: Alta
Pontuação básica CVSS v3: 7.2 (AV:N / AC:L / PR:H / UI:N / S:U / C:H / eu: H / A:H)
Pontos importantes:
- Um administrador mal-intencionado poderá usar essa vulnerabilidade para excluir ou modificar dados armazenados em backup sem que essa alteração seja detectada ou para outras finalidades, por exemplo, para instalar malware no appliance.
- Essa vulnerabilidade afeta somente contas de administradores no appliance; ela não afeta contas de usuário.
- Essa vulnerabilidade afeta somente o Appliance NetBackup; ela não afeta o NetBackup.
Produtos afetados
- Appliance NetBackup 3.1.1 e versões anteriores
Atenuações
- Há uma atenuação conhecida para esse problema. Consulte este link para ver detalhes.
Dúvidas
Se você tiver alguma dúvida sobre qualquer informação incluída neste comunicado de segurança, entre em contato com o suporte técnico da Veritas.
Práticas recomendadas
Como parte das práticas recomendadas normais, a Veritas recomenda que os clientes:
- restrinjam o acesso a sistemas de administração e de gerenciamento para usuários privilegiados;
- restrinjam o acesso remoto, se necessário, apenas a sistemas confiáveis/autorizados;
- mantenham todos os sistemas operacionais e aplicativos atualizados com os patches mais recentes do fornecedor;
- sigam uma abordagem de várias camadas em relação à segurança; executem aplicativos de firewall e antimalware, no mínimo, para oferecer vários pontos de detecção e proteção contra ameaças de entrada e saída;
- implementem sistemas de detecção de intrusões no host e na rede para monitorar o tráfego de rede para sinais de atividade anormal ou suspeita. Isso pode ajudar na detecção de ataques ou atividades mal-intencionados relacionados à exploração de vulnerabilidades latentes.
Isenção de responsabilidade
O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A Veritas Technologies LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENTES RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.
Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043
© 2017 Veritas Technologies LLC. Todos os direitos reservados. Veritas, o logotipo da Veritas e NetBackup são marcas comerciais ou registradas da Veritas Technologies LLC ou de suas afiliadas nos Estados Unidos e em outros países. Outros nomes podem ser marcas comerciais dos respectivos proprietários