Historique des révisions

• 1.0 : 23 décembre 2020, version initiale
• 1.1 : 8 janvier 2021 : ajout des ID de CVE, mise à jour des sections Remédiation et Prévention

Résumé

Dans le cadre de son processus de test continu, Veritas a détecté plusieurs problèmes : Veritas NetBackup et OpsCenter pourraient permettre à un attaquant d'exécuter du code arbitraire à l'aide de droits d'administrateur.

Problème 1

ID de CVE : CVE-2020-36169
Gravité : critique
Score de base CVSS v3.1 : 9,3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

Les processus NetBackup utilisant OpenSSL tentent de charger et d'exécuter des bibliothèques à partir de chemins d'accès qui n'existent pas par défaut sur le système d'exploitation Windows. Par défaut, sur les systèmes Windows, les utilisateurs peuvent créer des répertoires sur n'importe quel lecteur. Par exemple, C:\. Si un utilisateur possédant des privilèges restreints sur le système Windows crée un chemin d'accès affecté vers une bibliothèque que NetBackup tente de charger, il peut exécuter un code arbitraire comme SYSTEM ou administrateur. L'attaquant obtient alors un accès administrateur au système, lui permettant (par défaut) d'accéder à l'ensemble des données, des applications installées, etc.

Cette vulnérabilité affecte les serveurs maîtres, les serveurs de médias et les clients NetBackup, ainsi que les serveurs OpsCenter sur la plate-forme Windows.

Le système est vulnérable lors d'une installation/mise à niveau et d'une post-installation pendant les opérations NetBackup normales.

Problème 2

ID de CVE : CVE-2020-36163
Gravité : critique
Score de base CVSS v3.1 : 9,3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

Les processus NetBackup utilisant Strawberry Perl tentent de charger et d'exécuter des bibliothèques à partir de chemins d'accès qui n'existent pas par défaut sur le système d'exploitation Windows. Par défaut, sur les systèmes Windows, les utilisateurs peuvent créer des répertoires sous C:\. Si un utilisateur possédant des privilèges restreints sur le système Windows crée un chemin d'accès affecté vers une bibliothèque que NetBackup tente de charger, il peut exécuter un code arbitraire comme SYSTEM ou administrateur. L'attaquant obtient alors un accès administrateur au système, lui permettant (par défaut) d'accéder à l'ensemble des données, des applications installées, etc.

Cette vulnérabilité affecte les serveurs maîtres, les serveurs de médias et les clients NetBackup, ainsi que les serveurs OpsCenter sur la plate-forme Windows.

Le système est vulnérable lors d'une installation ou d'une mise à niveau sur tous les systèmes, ainsi que d'une post-installation sur les serveurs maîtres, de médias et OpsCenter pendant les opérations NetBackup normales.

Versions affectées

NetBackup et OpsCenter, versions 8.3.0.1 et antérieures, sont affectés.

Le problème affecte uniquement la plate-forme Windows.

CloudPoint : si vous utilisez CloudPoint, consultez les instructions détaillées fournies dans l'avis relatif à Veritas CloudPoint.

Remédiation

Les clients liés par un contrat de maintenance en cours peuvent télécharger et installer le correctif NetBackup pour corriger les vulnérabilités d'un serveur maître, d'un serveur de médias et d'un client NetBackup déjà installés. Installez le correctif OpsCenter pour corriger les vulnérabilités d'un serveur OpsCenter déjà installé.

Si vous souhaitez installer ou mettre à niveau une version affectée de NetBackup ou d'OpsCenter, suivez les étapes énumérées dans la section Prévention avant de lancer l'installation ou la mise à niveau. Remarque : cette action doit être exécutée, même si vous effectuez une mise à niveau à partir d'une version sur laquelle le correctif est déjà installé. Une fois l'installation ou la mise à niveau terminée, installez le correctif pour la version installée de NetBackup/OpsCenter.

Actions recommandées :

Prévention

REMARQUE : Veritas recommande fortement d'exécuter la version 9.0 ou ultérieure, ou une version corrigée.

• Solution de contournement

• Cette solution de contournement réduira le risque jusqu'à ce que le correctif soit appliqué, s'il est disponible, ou que le système soit mis à jour à la version 9.0 ou ultérieure.
• Sécurisation des répertoires
• À l'aide d'un compte administrateur, créez les répertoires énumérés ci-dessous et définissez l'ACL sur le répertoire pour refuser l'accès en écriture à tous les autres utilisateurs.
• Si les répertoires existent déjà et si les ACL permettent un accès en écriture à d'autres utilisateurs, vous devez mettre à jour les ACL pour autoriser uniquement l'accès en écriture aux comptes d'administrateur.
• Ces répertoires ne doivent pas être supprimés.
• \usr\local\ssl
• Lecteur d'installation du SE : par exemple, C:\usr\local\ssl
• Lecteur d'installation de NetBackup : par exemple, D:\usr\local\ssl
• C:\strawberry (8.1.2 et versions ultérieures)
• C:\Temp\strawberry (8.1.1 et versions antérieures)
• Pour toute commande NetBackup, tapez « cd » pour accéder au répertoire contenant la commande NetBackup avant de l'exécuter.

Voici un exemple de suppression de l'autorisation d'écriture pour un utilisateur non-administrateur :



• Installation existante

• Si le correctif est disponible
• Appliquez le correctif ou la version installée
• Si le correctif est disponible
• Appliquez les solutions de contournement énumérées ci-dessus

• Nouvelle installation

• Si vous installez la version 9.0 ou ultérieure
• Effectuez la nouvelle installation
• Aucune action future n'est requise
• Si vous installez une version antérieure à 9.0
• Appliquez les solutions de contournement énumérées ci-dessus
• Effectuez la nouvelle installation
• Si le correctif est disponible
• Appliquez le correctif pour la version installée

• Mise à niveau de l'installation

• o Si vous mettez à niveau vers la version 9.0 ou ultérieure
• Effectuez la mise à niveau
• Les répertoires décrits dans la solution de contournement peuvent être supprimés.
• Si vous mettez à niveau vers une version antérieure à 9.0
• Appliquez les solutions de contournement énumérées ci-dessus
• Cette action doit être exécutée, même si vous effectuez une mise à niveau à partir d'une version sur laquelle le correctif est déjà installé.
• Effectuez la mise à niveau
• Si le correctif est disponible
• Appliquez le correctif pour la nouvelle version

Informations sur les téléchargements

Remarque : ces téléchargements concernent les deux vulnérabilités énumérées au haut de ce document.

• Correctif logiciel
• Correctifs de mise à jour OpenSSL pour NetBackup 8.1.2
• NetBackup 8.1.2 : mise à niveau d'OpenSSL sur les serveurs maîtres et de médias Windows (ET 4020525)
• https://www.veritas.com/support/fr_FR/downloads/update.UPD637939
• Correctif NetBackup 8.1.2 : mise à niveau d'OpenSSL sur les clients Windows (ET 4021310)
• https://www.veritas.com/support/fr_FR/downloads/update.UPD748218
• Correctif NetBackup OpsCenter 8.1.2 : mise à niveau d'OpenSSL sur les serveurs Windows OpsCenter (ET 4021454)
• https://www.veritas.com/support/fr_FR/downloads/update.UPD471540
• Correctifs de mise à jour OpenSSL pour NetBackup 8.2
• Correctif NetBackup 8.2 : mise à niveau d'OpenSSL sur les serveurs maîtres et de médias Windows (ET 4020077)
• https://www.veritas.com/support/fr_FR/downloads/update.UPD255190
• Correctif NetBackup 8.2 : mise à niveau d'OpenSSL sur les clients NetBackup Windows (ET 4021217)
• https://www.veritas.com/support/fr_FR/downloads/update.UPD450754
• Correctif NetBackup OpsCenter 8.2 : mise à niveau d'OpenSSL sur les serveurs Windows OpsCenter (ET 4021453)
• https://www.veritas.com/support/fr_FR/downloads/update.UPD518556
• Correctifs de mise à jour OpenSSL pour NetBackup 8.3
• Correctif NetBackup 8.3 : mise à niveau d'OpenSSL sur les serveurs maîtres et de médias Windows (ET 4021901)
• https://www.veritas.com/support/fr_FR/downloads/update.UPD475064
• Correctif NetBackup 8.3 : mise à niveau d'OpenSSL sur les clients Windows (ET 4022116)
• https://www.veritas.com/support/fr_FR/downloads/update.UPD870749
• Correctif NetBackup OpsCenter 8.3 : mise à niveau d'OpenSSL sur les serveurs Windows OpsCenter (ET 4022185)
• https://www.veritas.com/support/fr_FR/downloads/update.UPD606869
• Correctifs de mise à jour OpenSSL pour NetBackup 8.3.0.1
• Correctif NetBackup 8.3.0.1 : mise à niveau d'OpenSSL sur les serveurs maîtres et de médias Windows (ET 4019812)
• https://www.veritas.com/support/fr_FR/downloads/update.UPD793441
• Correctif NetBackup 8.3.0.1 : mise à niveau d'OpenSSL sur les clients Windows (ET 4021146)
• https://www.veritas.com/support/fr_FR/downloads/update.UPD882155
• Correctif NetBackup OpsCenter 8.3.0.1 : mise à niveau d'OpenSSL sur les serveurs Windows OpsCenter (ET 4021447)
• https://www.veritas.com/support/fr_FR/downloads/update.UPD480348

Questions

Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR).