Revisioni

1.0: 26 ottobre 2018: versione iniziale
1.1: 20 novembre 2018: riepilogo corretto
1.2: 18 gennaio 2019: aggiunto un collegamento di attenuazione

Riepilogo

Vulnerabilità con esecuzione di comando remoto nelle appliance Veritas NetBackup.

Problema Descrizione Gravità Versione corretta

1

Vulnerabilità con esecuzione di comando remoto nelle appliance NetBackup

Alta

NetBackup Appliance 3.1.2

 

Problemi

Problema n. 1

Vulnerabilità con esecuzione di comando remoto nelle appliance Veritas NetBackup che consente agli amministratori che hanno effettuato l’autenticazione di eseguire comandi arbitrari come utente principale. Questo problema è dovuto a una filtrazione insufficiente dei dati forniti dall’utente.

ID CVE: CVE-2018-18652
Gravità: alta
Punteggio base CVSS v3: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

Punti importanti:

  • Un amministratore malintenzionato potrebbe usare questa vulnerabilità per eliminare o modificare i dati di cui è stato eseguito il backup senza che tale modifica venga rilevata o per altri scopi, come l’installazione di malware sul dispositivo.
  • Questa vulnerabilità interessa solo gli account amministratore sul dispositivo; non interferisce con gli account utente.
  • Questa vulnerabilità interessa solo le appliance NetBackup, non interferisce con NetBackup.

Prodotti interessati

  • Appliance NetBackup 3.1.1 e versioni precedenti

Possibili soluzioni

  • È disponibile una soluzione nota a questo problema. Per ulteriori informazioni, consultare questo articolo: link.

 

Domande

In caso di domande relative alle informazioni contenute nel presente avviso sulla sicurezza, contattare il supporto tecnico di Veritas.

 

Best Practice

Come parte delle comuni best practice, Veritas consiglia ai clienti di:

  • Limitare l'accesso a sistemi di amministrazione o di gestione agli utenti privilegiati.
  • Limitare l'accesso remoto, se necessario, solo su sistemi attendibili/autorizzati.
  • Mantenere aggiornati sistemi operativi e applicazioni aggiornate con le patch più recenti del fornitore.
  • Seguire un approccio multilivello verso la sicurezza. Eseguire applicazioni firewall e anti-malware, come requisito minimo, per fornire più punti di rilevamento e protezione per le minacce in entrata e in uscita.
  • Distribuire i sistemi di rilevazione delle intrusioni basato su host o sulla rete per monitorare il traffico di rete alla ricerca di eventuali segnali di attività anomale o sospette. Questa opzione potrebbe aiutare a rilevare attacchi o attività dannose correlate allo sfruttamento di vulnerabilità latenti

 

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. Veritas Technologies LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043

http://www.veritas.com/

 

© 2017 Veritas Technologies LLC. Tutti i diritti riservati. Veritas, il logo Veritas e NetBackup sono marchi o marchi registrati di Veritas Technologies LLC o delle sue consociate negli Stati Uniti e in altri paesi. Gli altri nomi possono essere marchi dei rispettivi proprietari.