Sicherheitsempfehlung zu NetBackup-Windows-OS-Clients

VTS23-006

Sicherheitsempfehlung für Primär-Server, Medienserver und Clients mit NetBackup-Windows-OS

Bisherige Aktualisierungen

1.0: 28. April 2023 – Erstfassung
1.1: 19. Mai 2023 – Betroffene Komponenten aktualisiert und Hotfix-Informationen hinzugefügt

Problem: Eskalation von Berechtigungen

Eine Sicherheitslücke, die sich durch die Art und Weise ergibt, in der ein NetBackup-Windows-OS-Client den Pfad zu einer DLL vor dem Laden validiert, kann einem Benutzer ermöglichen, seine Berechtigungen zu erhöhen und das Hostbetriebssystem zu kompromittieren.

CVE ID:CVE-2023-28759
Schweregrad: hoch
CVSS v3.1 Base Score: 8.4 (AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Betroffene Komponenten:
- Im Windows-Betriebssystem installierter NetBackup Primär-Server, Medienserver und Client.
Betroffene Versionen: alle Versionen vor 10.0
Empfohlene Maßnahmen:
- Upgrade auf Version 10.0 oder höher (keine weiteren Maßnahmen erforderlich).
- Oder Upgrade auf Version 8.3.0.1 und Anwendung des Hotfix für Etrack 4115799
- Oder Upgrade auf Version 8.3.0.2 und Anwendung des Hotfix für Etrack 4116057
- Oder Upgrade auf Version 9.0.0.1 und Anwendung des Hotfix für Etrack 4116060
- Oder Upgrade auf Version 9.1.0.1 und Anwendung des Hotfix für Etrack 4115260
Gegenmaßnahme
- Die Gegenmaßnahme für dieses Problem besteht darin, dass Benutzer, die keine Administratoren sind, KEINEN Zugriff haben, um Dateien im DLL-Suchpfad zu erstellen.
- Weitere Informationen finden Sie in der Microsoft-Dokumentation zur DLL-Suchreihenfolge: https://learn.microsoft.com/de-de/windows/win32/dlls/dynamic-link-library-search-order

Fragen

Bei Fragen oder Problemen im Zusammenhang mit dieser Sicherheitslücke wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE)

Danksagung

Veritas möchte sich beim Lockheed Martin Red-Team dafür bedanken, dass es uns über dieses Problem informiert hat.

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054