版本
1.0:2019 年 3 月 18 日:初始版本
1.1:2019 年 3 月 19 日:添加了 CVE ID
概要
Veritas NetBackup 设备中存在的多个漏洞。
| 问题 | 描述 | 严重性 | 修正版本 |
|---|---|---|---|
| 1 | SMTP 密码会向管理员显示 | 中 | 2019 年 3 月 EEB |
| 2 | 代理服务器密码会向管理员显示 | 中 | 2019 年 3 月 EEB |
问题
问题 1
SMTP 密码会向管理员显示。
CVE ID: CVE-2019-9868
严重性:中
CVSS v3 基础评分:6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)
使用 NetBackup 设备 Web 控制台时,如果之前已配置了要使用的 SMTP 密码,则即使 SMTP 当前未处于活动状态,管理员也可以检索该帐户的密码(如果已指定了密码)。这会让管理员能够获取完整的帐户凭据,并让管理员能够出于其他目的(例如更改密码)访问 SMTP 服务器,进而阻止设备发送电子邮件。
受影响的产品
- NetBackup 设备 3.1.2、3.1.1、3.1、3.0、2.7.3 以及未安装 2019 年 3 月 EEB 的更早不受支持版本
问题 2
代理服务器密码会向管理员显示。
CVE ID: CVE-2019-9867
严重性:中
CVSS v3 基础评分:6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)
使用 NetBackup 设备 Web 控制台时,如果之前已配置了要使用的代理服务器密码,则即使 Call Home 或代理服务器当前未处于活动状态,管理员也可以检索该帐户的密码。这会让管理员能够获取完整的帐户凭据,并让管理员能够出于其他目的(例如更改密码)访问代理服务器,进而阻止设备使用代理服务器。
注意:对于 NetBackup 设备 3.1.1 和 3.1.2,系统会显示“<saved>”而不是实际密码。但是,可以在页面的 HTML 中找到密码。
受影响的产品
- NetBackup 设备 3.1.2、3.1.1、3.1、3.0、2.7.3 以及未安装 2019 年 3 月 EEB 的更早不受支持版本
参考资料
问题
如果您对本安全通报中的任何信息有任何疑问,请联系 Veritas 技术支持。
最佳做法
根据常规最佳做法,Veritas 建议客户:
- 仅限特权用户访问管理系统。
- 如有必要,仅限远程访问受信任/授权的系统。
- 使用最新的供应商补丁更新所有操作系统和应用程序。
- 遵循多层次的安全方法。采取的保护措施至少应包括运行防火墙和反恶意软件应用程序,为入站和出站威胁提供多点检测和保护。
- 部署网络和基于主机的入侵检测系统,以监控网络流量并发现异常或可疑活动的迹象。这可能有助于检测与利用潜在漏洞相关的攻击或恶意活动
免责声明
本安全通报“如实”提供,对于所有明示或暗示的条款、陈述和保证,包括任何适销性、针对特定用途的适用性或未侵权的暗示保证,均不提供任何担保,除非此类免责声明的范围在法律上视为无效。VERITAS TECHNOLOGIES LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改,恕不另行通知。
Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043
© 2019 Veritas Technologies LLC. © 2019 年 Veritas Technologies LLC 版权所有。All rights reserved. 保留所有权利。Veritas、Veritas 标识和 NetBackup 是 Veritas Technologies LLC 或其附属机构在美国和其他国家/地区的商标或注册商标。其他名称可能是其各自所有者的商标。