版本
1.0:2018 年 10 月 26日:初次发布
1.1:2018 年 11 月 20 日:更正了概要
1.2:2019 年 1 月 18 日:增加了缓解方案链接
概要
Veritas NetBackup 备份一体机中的远程命令执行漏洞。
| 问题 | 描述 | 严重性 | 修正版本 |
|---|---|---|---|
1 |
高 |
NetBackup Appliance 3.1.2 |
问题
问题 1
Veritas NetBackup 备份一体机中的远程命令执行漏洞,允许经过身份验证的管理员以根用户的身份执行任意命令。这个问题是因对用户输入的内容过滤不充分而造成的。
CVE ID:CVE-2018-18652
严重性:高
CVSS v3 基本分数:7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
重点:
- 恶意管理员可以利用此漏洞删除或修改备份数据或者是出于其他目的(例如在设备上安装恶意软件),同时让系统检测不到此更改。
- 此漏洞只会影响设备上的管理员帐户,而不会影响用户帐户。
- 此漏洞只会影响 NetBackup 备份一体机,而不会影响 NetBackup。
受影响的产品
- NetBackup Appliance 3.1.1 及更低版本
缓解方案
- 已有针对此问题的已知缓解方案。 请参见此链接了解详细信息。
问题
如果您对本安全通报中的任何信息有任何疑问,请联系 Veritas 技术支持。
最佳做法
根据常规最佳做法,Veritas 建议客户:
- 仅限特权用户访问管理系统。
- 如有必要,仅限远程访问受信任/授权的系统。
- 使用最新的供应商补丁更新所有操作系统和应用程序。
- 遵循多层次的安全方法。采取的保护措施至少应包括运行防火墙和反恶意软件应用程序,为入站和出站威胁提供多点检测和保护。
- 部署网络和基于主机的入侵检测系统,以监控网络流量并发现异常或可疑活动的迹象。这可能有助于检测与利用潜在漏洞相关的攻击或恶意活动
免责声明
本安全通报“如实”提供,对于所有明示或暗示的条款、陈述和保证,包括任何适销性、针对特定用途的适用性或未侵权的暗示保证,均不提供任何担保,除非此类免责声明的范围在法律上视为无效。VERITAS TECHNOLOGIES LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改,恕不另行通知。
Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043
© 2017 Veritas Technologies LLC. © 2017 年 Veritas Technologies LLC 版权所有。All rights reserved. 保留所有权利。Veritas、Veritas 标识和 NetBackup 是 Veritas Technologies LLC 或其附属机构在美国和其他国家/地区的商标或注册商标。其他名称可能是其各自所有者的商标。