Avis de sécurité affectant les serveurs et les clients NetBackup

Historique des révisions

• 1.0 : 14 mars 2023 – première version publique
• 1.1 : 26 mai 2023 – mise à jour des versions de produits affectées et ajout d'informations de prévention

Résumé

Veritas a corrigé une vulnérabilité affectant les serveurs et les clients NetBackup.

Problème

Écriture arbitraire de fichier

BPCD permet à un utilisateur non privilégié de créer ou de modifier un fichier arbitraire lors de l'exécution d'une commande NetBackup. Cela peut être utilisé pour élever les privilèges et compromettre le système.

• ID de CVE :CVE-2023-28758
• Gravité : élevée
• Score de base CVSS v3.1 : 7,7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• Version et produits affectés :
  • Serveur principal, serveur de médias et clients NetBackup – 8.2 et versions antérieures.
  • Dans les environnements où le serveur principal et tous les serveurs de médias sont en version 8.3 ou supérieure, le serveur principal et les serveurs de médias ne sont PAS vulnérables (voir le tableau 1 ci-dessous).
• Action recommandée :
  • De préférence : mettre à niveau vers la version 8.3 ou une version ultérieure.

Tableau 1. Suis-je vulnérable ?

Prévention

Prévention pour les environnements avec des clients ou des serveurs de médias qui ne peuvent pas être mis à niveau vers la version 8.3 ou des versions plus récentes (effectuer les deux) :

• Supprimez l'accès des non-administrateurs à tous les serveurs NetBackup. Les utilisateurs qui ne sont pas des administrateurs système ou des administrateurs NetBackup ne doivent pas pouvoir se connecter (au niveau du système d'exploitation) ou exécuter des commandes sur le serveur principal et le serveur de médias NetBackup.
• Vérifiez les entrées SERVER et MEDIA_SERVER dans les propriétés bp.conf/host et supprimez les entrées pour les systèmes qui ne sont pas à la version 8.3 ou ultérieure de NetBackup.

Remarques

Une bonne pratique pour tous les environnements NetBackup consiste à vérifier les entrées SERVER et MEDIA_SERVER dans les propriétés bp.conf/host pour chaque hôte et à supprimer les entrées pour les systèmes qui n'existent plus ou qui ne communiquent pas avec cet hôte. Cela suit le principe du moindre privilège pour limiter l'accès aux seuls systèmes qui en ont besoin.

Ce problème a déjà été résolu, mais aucun avis de sécurité n'a été émis à l'époque. Les versions 8.3 et ultérieures de NetBackup contiennent la correction et aucune action n'est requise si vous utilisez l'une de ces versions.

Questions

Pour toute question ou tout problème concernant cette vulnérabilité, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION SONT SUSCEPTIBLES D'ÊTRE MODIFIÉES SANS PRÉAVIS. TOUTES LES INDICATIONS RELATIVES À DE FUTURES ÉVOLUTIONS PRODUITS SONT PRÉLIMINAIRES, ET LES DATES DE LANCEMENT SONT PROVISOIRES ET SUSCEPTIBLES DE CHANGER. LES VERSIONS FUTURES DU PRODUITS OU LES MODIFICATIONS PRÉVUES DE CARACTÉRISTIQUES OU DE FONCTIONNALITÉS SONT EN ÉVALUATION PERMANENTE PAR VERITAS, ET SELON LES RÉSULTATS DE CES ÉVALUATIONS, ELLES PEUVENT NE PAS ÊTRE IMPLÉMENTÉES. ELLES NE DOIVENT DONC EN AUCUN CAS ÊTRE CONSIDÉRÉES COMME DES ENGAGEMENTS FERMES DE LA PART DE VERITAS ET NE DOIVENT PS INFLUENCER UNE DÉCISION.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054