Révisions

1.0 : 26 octobre 2018 : version initiale
1.1 : 20 novembre 2018 : résumé corrigé
1.2 : 18 janvier 2019 : ajout d'un lien de prévention

Résumé

Vulnérabilité de l'exécution de la commande distante dans l'appliance Veritas NetBackup.

Problèmes

Problème 1

Vulnérabilité de l'exécution de la commande distante dans l'appliance Veritas NetBackup qui permet aux administrateurs authentifiés d'exécuter des commandes arbitraires en tant que racine. Ce problème a été provoqué par un filtrage insuffisant des entrées fournies par l'utilisateur.

ID de CVE : CVE-2018-18652
Gravité : élevée
Score de base CVSS v3 : 7,2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

Points importants :

• Un administrateur malveillant pourrait utiliser cette vulnérabilité afin de supprimer ou de modifier des données sauvegardées sans que ce changement ne soit détecté, ou à d'autres fins telles que l'installation de logiciels malveillants sur l'appliance.
• Cette vulnérabilité affecte uniquement les comptes administrateur sur l'appliance ; elle n'affecte pas les comptes d'utilisateur.
  
• Cette vulnérabilité affecte uniquement l'appliance NetBackup ; elle n'affecte pas NetBackup.
  

Produits concernés

• Appliances NetBackup versions 3.1.1 et antérieures

Prévention

• Une mesure de prévention est connue pour ce problème. Consultez ce lien pour plus de détails.

Questions

Si vous avez des questions sur les informations indiquées dans cet avis de sécurité, contactez le support technique de Veritas.

Bonnes pratiques

Dans le cadre des bonnes pratiques normales, Veritas recommande aux clients ce qui suit :

• Limitez l'accès aux systèmes d'administration ou de gestion aux utilisateurs privilégiés.
• Limitez l'accès à distance aux seuls systèmes approuvés/autorisés, si nécessaire.
• Tenez à jour tous les systèmes d'exploitation et les applications avec les derniers correctifs du fournisseur.
• Suivez une approche de sécurité multicouche. Exécutez au minimum des applications pare-feu et anti-logiciel malveillant afin de fournir plusieurs points de détection et de protection contre les menaces entrantes et sortantes.
• Déployez des systèmes de détection des intrusions basés sur le réseau et l'hôte pour contrôler le trafic réseau et détecter tout signe d'activité suspecte anormale. Ceci peut faciliter la détection des attaques ou activités malveillantes liées à l'exploitation des vulnérabilités latentes.

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OU CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. Veritas Technologies LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043

http://www.veritas.com/

© 2017 Veritas Technologies LLC. Tous droits réservés. Veritas, le logo Veritas et NetBackup sont des marques commerciales ou des marques déposées de Veritas Technologies LLC ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms cités peuvent être des marques commerciales appartenant à leurs propriétaires respectifs.