Revisioni
1.0: 18 marzo 2019: versione iniziale
1.1: 19 marzo 2019: aggiunti ID CVE
Riepilogo
Vulnerabilità multiple nell'appliance Veritas NetBackup.
| Problema | Descrizione | Gravità | Versione corretta |
|---|---|---|---|
| 1 | Password SMTP visualizzata dall'amministratore | Media | EEB di marzo 2019 |
| 2 | Password del server proxy visualizzata dall'amministratore | Media | EEB di marzo 2019 |
Problemi
Problema n. 1
Password SMTP visualizzata dall'amministratore.
ID CVE: CVE-2019-9868
Gravità: Media
Punteggio base CVSS v3: 6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)
Quando si utilizza la console Web dell'appliance NetBackup, se in precedenza è stata configurata una password SMTP, l'amministratore può recuperare tale password dell'account se ne è stata specificata una, anche se SMTP non è attualmente attivo. Ciò rende visibili le credenziali complete dell'account all'amministratore, che può così accedere al server SMTP per altri scopi, ad esempio per modificare la password e impedire all'appliance di inviare e-mail.
Prodotti interessati
- Appliance NetBackup, versioni 3.1.2, 3.1.1, 3.1, 3.0, 2.7.3 e probabilmente altre versioni precedenti e non supportate senza EEB di marzo 2019 installato
Problema n. 2
Password del server proxy visualizzata dall'amministratore.
ID CVE: CVE-2019-9867
Gravità: Media
Punteggio base CVSS v3: 6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)
Quando si utilizza la console Web dell'appliance NetBackup, se in precedenza è stata configurata una password del server proxy, l'amministratore può recuperare tale password dell'account anche se Call Home o il server proxy non sono attualmente attivi. Ciò rende visibili le credenziali complete dell'account all'amministratore, che può così accedere al server proxy per altri scopi, ad esempio per modificare la password e impedire all'appliance di utilizzare il server.
Nota: per le versioni 3.11 e 3.12 dell'appliance NetBackup, viene visualizzato un messaggio "<saved>" al posto della password effettiva, tuttavia è possibile comunque visualizzare la password nel codice HTML della pagina.
Prodotti interessati
- Appliance NetBackup, versioni 3.1.2, 3.1.1, 3.1, 3.0, 2.7.3 e probabilmente altre versioni precedenti e non supportate senza EEB di marzo 2019 installato
Riferimenti
Domande
In caso di domande relative alle informazioni contenute nel presente avviso sulla sicurezza, contattare il supporto tecnico di Veritas.
Best Practice
Come parte delle comuni best practice, Veritas consiglia ai clienti di:
- Limitare l'accesso a sistemi di amministrazione o di gestione agli utenti privilegiati.
- Limitare l'accesso remoto, se necessario, solo su sistemi attendibili/autorizzati.
- Mantenere aggiornati sistemi operativi e applicazioni aggiornate con le patch più recenti del fornitore.
- Seguire un approccio multilivello verso la sicurezza. Eseguire applicazioni firewall e anti-malware, come requisito minimo, per fornire più punti di rilevamento e protezione per le minacce in entrata e in uscita.
- Distribuire i sistemi di rilevazione delle intrusioni basato su host o sulla rete per monitorare il traffico di rete alla ricerca di eventuali segnali di attività anomale o sospette. Questa opzione potrebbe aiutare a rilevare attacchi o attività dannose correlate allo sfruttamento di vulnerabilità latenti
Dichiarazione di non responsabilità
IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. Veritas Technologies LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.
Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043
© 2019 Veritas Technologies LLC. Tutti i diritti riservati. Veritas, il logo Veritas e NetBackup sono marchi o marchi registrati di Veritas Technologies LLC o delle sue consociate negli Stati Uniti e in altri paesi. Gli altri nomi possono essere marchi dei rispettivi proprietari.