リビジョン
1.0: 2019 年 3 月 18 日: 初回発行
1.1: 2019 年 3 月 19 日: CVE ID を追加
概要
Veritas NetBackup アプライアンスに複数の脆弱性が検出されました。
| 問題 | 説明 | 重大度 | 修正されたバージョン |
|---|---|---|---|
| 1 | SMTP のパスワードが管理者に表示される | 中 | March 2019 EEB |
| 2 | プロキシサーバーのパスワードが管理者に表示される | 中 | March 2019 EEB |
問題
問題 1
SMTP のパスワードが管理者に表示される。
CVE ID: CVE-2019-9868
重大度: 中
CVSS v3 基本スコア: 6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)
NetBackup アプライアンス Web コンソールを使用するときに、SMTP のパスワードを使用するように設定されていた場合は、その時点で SMTP がアクティブでなくても、管理者はアカウント用に指定されたパスワードを取得できます。これにより、アカウントの完全なクレデンシャルが管理者に開示され、他の目的 (パスワードを変更して、アプライアンスから電子メールが送信されないようにするなど) で SMTP サーバーにアクセスできるようになります。
影響を受ける製品
- March 2019 EEB がインストールされていない、サポートされていないバージョンの NetBackup アプライアンス 3.1.2、3.1.1、3.1、3.0、2.7.3、およびそれ以前
問題 2
プロキシサーバーのパスワードが管理者に表示される。
CVE ID: CVE-2019-9867
重大度: 中
CVSS v3 基本スコア: 6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)
NetBackup アプライアンス Web コンソールを使用するときに、プロキシサーバーのパスワードを使用するように設定されていた場合には、その時点でコールホームやプロキシサーバーがアクティブでなくても、管理者はアカウント用のパスワードを取得できます。これにより、アカウントの完全なクレデンシャルが管理者に開示され、他の目的 (パスワードを変更して、アプライアンスがプロキシサーバーを利用できないようにするなど) でプロキシサーバーにアクセスできるようになります。
注意: NetBackup アプライアンス 3.1.1 および 3.1.2 では、実際のパスワードの代わりに「<saved>」と表示されますが、そのページの HTML ソースにはパスワードが含まれています。
影響を受ける製品
- March 2019 EEB がインストールされていない、サポートされていないバージョンの NetBackup アプライアンス 3.1.2、3.1.1、3.1、3.0、2.7.3、およびそれ以前
参照情報
お問い合わせ
このセキュリティアドバイザリの情報についてご不明な点がある場合は、ベリタステクニカルサポートにご連絡ください。
ベストプラクティス
通常のベストプラクティスの一環として、ベリタスは以下のことを推奨します。
- 管理システムへのアクセスを特権ユーザーのみに制限する。
- 必要に応じて、リモートアクセスを信頼できるシステムや認証されたシステムのみに制限する。
- すべてのオペレーティングシステムとアプリケーションに常にベンダーの最新のパッチを適用しておく。
- 多層的なセキュリティ対策を導入する。少なくともファイアウォールおよびマルウェア対策アプリケーションの両方を実行し、外部および内部からのいずれの脅威に対しても複数の検出ポイントや保護ポイントを設定してください。
- ネットワークベースおよびホストベースの侵入検知システムを導入し、異常な活動や不審な活動の兆候がないか、ネットワークトラフィックを監視する。これにより、潜在的な脆弱性の悪用に関連した攻撃や悪質な活動を検出できる場合があります。
免責
本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。
Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043
© 2019 Veritas Technologies LLC. All rights reserved. Veritas、Veritas ロゴ、および NetBackup は、Veritas Technologies LLC または関連会社の米国およびその他の国における商標または登録商標です。その他の会社名、製品名は各社の登録商標または商標です。