Aviso de seguridad que afecta a los servidores y clientes de NetBackup

Historial de revisión

• 1.0: 14 de marzo de 2023: lanzamiento público inicial
• 1.1: 26 de mayo de 2023: actualización de las versiones de productos afectados e información de mitigación agregada

Resumen

Veritas ha resuelto una vulnerabilidad que afectaba a los servidores y clientes de NetBackup.

Problema

Escritura arbitraria de archivos

BPCD permite a un usuario sin privilegios crear o modificar un archivo arbitrario al ejecutar un comando de NetBackup. Esto se puede usar para elevar los privilegios y comprometer el sistema.

• Id. de CVE: CVE-2023-28758
• Gravedad: alta
• Puntaje de base del CVSS v3.1: 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• Producto y versión afectados:
  • Servidor principal, servidor de medios y clientes de NetBackup: 8.2 y versiones anteriores.
  • En entornos donde el servidor principal y todos los servidores de medios están en 8.3 o versiones superiores, el servidor principal y los servidores de medios NO son vulnerables (consulte la Tabla 1 a continuación).
• Acción recomendada:
  • Preferida: actualice a la versión 8.3 o posterior.

Tabla 1. ¿Soy vulnerable?

Mitigación

Mitigación para entornos con clientes o servidores de medios que no pueden actualizar a 8.3 o versiones más nuevas (realice ambas):

• Elimine el acceso de no administrador de todos los servidores de NetBackup. Los usuarios que no sean administradores del sistema o administradores de NetBackup no deberían poder iniciar sesión (a nivel del sistema operativo) ni ejecutar comandos en el servidor principal y de medios de NetBackup.
• Revise las entradas SERVER y MEDIA_SERVER en las propiedades de bp.conf/host y elimine las entradas para los sistemas que no estén en NetBackup 8.3 o versiones superiores.

Notas

Una práctica recomendada para todos los entornos de NetBackup es revisar las entradas SERVER y MEDIA_SERVER en las propiedades de bp.conf/host para cada host y eliminar las entradas de los sistemas que ya no existen o que no se comunican con este host. Esto sigue el principio de privilegio mínimo para limitar el acceso solo a aquellos sistemas que necesitan acceso.

Este problema se resolvió anteriormente, pero no se generó un aviso de seguridad en ese momento. La versión 8.3 de NetBackup y posteriores contienen la reparación, y no es necesario que realice ninguna acción si ya tiene estas versiones.

Preguntas

Si tiene preguntas o problemas relacionados con esta vulnerabilidad, contáctese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES)

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTA DOCUMENTACIÓN ESTÁ SUJETA A CAMBIOS SIN AVISO. TODA INDICACIÓN POR ADELANTADO DE PLANES SOBRE PRODUCTOS SE REALIZA EN FORMA PRELIMINAR, Y TODAS LAS FECHAS DE LANZAMIENTO FUTURAS SON PROVISIONALES Y ESTÁN SUJETAS A CAMBIOS. TODO LANZAMIENTO FUTURO DE PRODUCTOS O MODIFICACIONES PLANIFICADAS A LAS CAPACIDADES, FUNCIONALIDADES O FUNCIONES DEL PRODUCTO ESTÁ SUJETO A REVISIÓN CONTINUA POR PARTE DE VERITAS Y PUEDE NO IMPLEMENTARSE. ASIMISMO, NO DEBEN CONSIDERARSE COMO COMPROMISOS POR PARTE DE VERITAS NI DEBEN TENERSE EN CUENTA PARA TOMAR DECISIONES DE COMPRA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054