リビジョン履歴
- 1.0: 2020 年 12 月 23 日: 初回バージョン
- 1.1: 2021 年 1 月 8 日: CVE ID を追加。修復策および緩和策の各セクションを更新
概要
ベリタスは、現在実施中のテストプロセスの一環として、Veritas NetBackup および OpsCenter によって攻撃者が管理者権限を使って任意のコードを実行できてしまう問題を発見しました。
問題 1
CVE ID: CVE-2020-36169
重大度: 重大
CVSS v3.1 基本スコア: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
OpenSSL を使用する NetBackup プロセスは、Windows オペレーティングシステムにデフォルトでは存在しないパスからライブラリをロードして実行しようと試みます。Windows システムでは、ユーザーはデフォルトで任意のドライブ上にディレクトリを作成できます。たとえば、C:\ の場合、Windows システム上の権限の低いユーザーが、NetBackup がロードしようと試みるライブラリによって影響を受けるパスを作成すると、SYSTEM または管理者として任意のコードを実行できてしまいます。これにより攻撃者はシステム上で管理者アクセス権を持つことになり、すべてのデータやインストール済みアプリケーションに (デフォルトで) アクセスできるようになります。
この脆弱性は、Windows プラットフォーム上の NetBackup マスターサーバー、メディアサーバー、クライアント、および OpsCenter サーバーに影響します。
システムは、NetBackup の通常操作の実行中、インストールまたはアップグレードを行っている間、およびインストール後に脆弱になります。
問題 2
CVE ID: CVE-2020-36163
重大度: 重大
CVSS v3.1 Base Score: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
Strawberry Perl を使用する NetBackup プロセスは、Windows オペレーティングシステムにデフォルトでは存在しないパスからライブラリをロードして実行しようと試みます。Windows システムでは、ユーザーはデフォルトで C:\ 直下にディレクトリを作成できます。Windows システム上の権限の低いユーザーが、NetBackup がロードしようと試みるライブラリによって影響を受けるパスを作成すると、SYSTEM または管理者として任意のコードを実行できてしまいます。これにより攻撃者はシステム上で管理者アクセス権を持つことになり、すべてのデータやインストール済みアプリケーションに (デフォルトで) アクセスできるようになります。
この脆弱性は、Windows プラットフォーム上の NetBackup マスターサーバー、メディアサーバー、クライアント、および OpsCenter サーバーに影響します。
システムは、NetBackup の通常操作の実行中、すべてのシステム上でインストールまたはアップグレードを行っている間、およびマスターサーバー、メディアサーバー、および OpsCenter サーバー上でインストール後に脆弱になります。
影響を受けるバージョン
NetBackup および OpsCenter バージョン 8.3.0.1 以前が影響を受けます。
この問題は、Windows プラットフォームにのみ影響します。
CloudPoint: CloudPoint を使用している場合は、Veritas CloudPoint のアドバイザリに記載されている詳細説明を参照してください。
修復策
現在メンテナンス契約をお持ちのお客様は、NetBackup のホットフィックスをダウンロードしてインストールすることで、インストール済みの NetBackup マスターサーバー、メディアサーバー、およびクライアントの脆弱性を修復することができます。OpsCenter のホットフィックスをインストールして、インストール済みの OpsCenter の脆弱性を修復することができます。
影響を受けるバージョンの NetBackup または OpsCenter をインストールする場合は、インストールまたはアップグレードを開始する前に、緩和策セクションに記載されている手順に従ってください。注: ホットフィックスがすでにインストールされているバージョンからアップグレードする場合も、この手順に従う必要があります。インストールまたはアップグレードが完了したら、インストールされている NetBackup/OpsCenter のバージョンに対応するホットフィックスをインストールしてください。
対処方法:
| NetBackup のバージョン | クライアント | メディア | マスター | OpsCenter |
|---|---|---|---|---|
|
9.0 以降 |
該当なし |
該当なし |
該当なし |
該当なし |
|
8.3.0.1 |
ホットフィックス |
ホットフィックス |
ホットフィックス |
ホットフィックス |
|
8.3 |
ホットフィックス |
ホットフィックス |
ホットフィックス |
ホットフィックス |
|
8.2 |
ホットフィックス |
ホットフィックス |
ホットフィックス |
ホットフィックス |
|
8.1.2 |
ホットフィックス |
ホットフィックス |
ホットフィックス |
ホットフィックス |
|
8.1.1 |
回避策のみ |
回避策のみ |
回避策のみ |
回避策のみ |
|
8.1 |
回避策のみ |
回避策のみ |
回避策のみ |
回避策のみ |
|
8.0 |
回避策のみ |
回避策のみ |
回避策のみ |
回避策のみ |
|
7.7.3 |
回避策のみ |
回避策のみ |
回避策のみ |
回避策のみ |
| NetBackup のバージョン | クライアント | メディア | マスター | OpsCenter |
|---|---|---|---|---|
|
9.0 以降 |
該当なし |
該当なし |
該当なし |
該当なし |
|
8.3.0.1 |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
|
8.3 |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
|
8.2 |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
|
8.1.2 |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
|
8.1.1 |
回避策のみ |
回避策のみ |
回避策のみ |
回避策のみ |
|
8.1 |
回避策のみ |
回避策のみ |
回避策のみ |
回避策のみ |
| NetBackup のバージョン | クライアント | メディア | マスター | OpsCenter |
|---|---|---|---|---|
|
9.0 以降 |
該当なし |
該当なし |
該当なし |
該当なし |
|
8.3.0.1 |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
|
8.3 |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
|
8.2 |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
|
8.1.2 |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
回避策およびホットフィックス |
|
8.1.1 |
回避策のみ |
回避策のみ |
回避策のみ |
回避策のみ |
|
8.1 |
回避策のみ |
回避策のみ |
回避策のみ |
回避策のみ |
緩和策
注: バージョン 9.0 以降またはホットフィックスを適用したバージョンを実行することを強くお勧めします。
-
回避策
- この回避策はホットフィックスを適用するまでの間、または利用可能な場合はシステムをバージョン 9.0 以降に更新するまでの間のリスクを低減するものです。
- ディレクトリの保護
- 管理者アカウントを使って下記のディレクトリを作成し、他のすべてのユーザーに対して書き込みアクセスを拒否するよう ACL を設定します。
- ディレクトリがすでに存在し、ACL で他のユーザーに対して書き込みアクセスが許可されている場合は、管理者アカウントのみに書き込みアクセスを許可するよう ACL を更新する必要があります。
- このディレクトリを削除しないようにしてください。
- \usr\local\ssl
- OS のインストール先ドライブ: たとえば、C:\usr\local\ssl
- NetBackup のインストール先ドライブ: たとえば、D:\usr\local\ssl
- C:\strawberry (8.1.2 以降のバージョン)
- C:\Temp\strawberry (8.1.1. 以前のバージョン)
- 任意の NetBackup コマンドの場合、実行する前に「cd」でその NetBackup コマンドが格納されているディレクトに移動してください。
-
既存のインストール環境
- ホットフィックスが利用できる場合
- インストールされているバージョンに対応するホットフィックスを適用します。
- ホットフィックスが利用できない場合
- 上記の回避策の手順を適用します。
-
新規インストール
- バージョン 9.0 以降をインストールする場合
- 新規インストールを実行します。
- それ以上の対応は不要です。
- 9.0 より前のバージョンをインストールする場合
- 上記の回避策の手順を適用します。
- 新規インストールを実行します。
- ホットフィックスが利用できる場合
- インストールされているバージョンに対応するホットフィックスを適用します。
-
アップグレードインストール
- バージョン 9.0 以降にアップグレードする場合
- アップグレードを実行します。
- 回避策に記載されているディレクトリが削除される可能性があります。
- 9.0 より前のバージョンにアップグレードする場合
- 上記の回避策の手順を適用します。
- ホットフィックスがすでにインストールされているバージョンからアップグレードする場合も、この手順に従う必要があります。
- アップグレードを実行します。
- ホットフィックスが利用できる場合
- 新しいバージョンに対応するホットフィックスを適用します。
管理者ユーザー以外の書き込みアクセスをクリアする方法の一例:
ダウンロード情報
注: これらのダウンロードは、この文書の上部に記載されている両方の脆弱性に対応しています。
- ホットフィックス
- NetBackup 8.1.2 向けの OpenSSL 更新ホットフィックス
- NetBackup 8.1.2 - Upgrade of OpenSSL on Windows Master or Media Server (ET 4020525) (NetBackup 8.1.2 - Windows マスターサーバーまたはメディアサーバー上の OpenSSL のアップグレード (ET 4020525))
- https://www.veritas.com/support/ja_JP/downloads/update.UPD637939
- NetBackup 8.1.2 HotFix - Upgrade of OpenSSL on Windows Clients (ET 4021310) (NetBackup 8.1.2 ホットフィックス - Windows クライアント上の OpenSSL のアップグレード (ET 4021310))
- https://www.veritas.com/support/ja_JP/downloads/update.UPD748218
- NetBackup OpsCenter 8.1.2 HotFix - Upgrade of OpenSSL on Windows OpsCenter Servers (ET 4021454) (NetBackup OpsCenter 8.1.2 ホットフィックス - Windows OpsCenter サーバー上の OpenSSL のアップグレード (ET 4021454))
- https://www.veritas.com/support/ja_JP/downloads/update.UPD471540
- NetBackup 8.2 向けの OpenSSL 更新ホットフィックス
- NetBackup 8.2 HotFix - Upgrade of OpenSSL on Windows Master or Media Server (ET 4020077) (NetBackup 8.2 ホットフィックス - Windows マスターサーバーまたはメディアサーバー上の OpenSSL のアップグレード (ET 4020077))
- https://www.veritas.com/support/ja_JP/downloads/update.UPD255190
- NetBackup 8.2 HotFix - Upgrade of OpenSSL on NetBackup Windows Clients (ET 4021217) (NetBackup 8.2 ホットフィックス - Windows クライアント上の OpenSSL のアップグレード (ET 4021217))
- https://www.veritas.com/support/ja_JP/downloads/update.UPD450754
- NetBackup OpsCenter 8.2 HotFix - Upgrade of OpenSSL on Windows OpsCenter Servers (ET 4021453) (NetBackup OpsCenter 8.2 ホットフィックス - Windows OpsCenter サーバー上の OpenSSL のアップグレード (ET 4021453))
- https://www.veritas.com/support/ja_JP/downloads/update.UPD518556
- NetBackup 8.3 向けの OpenSSL 更新ホットフィックス
- NetBackup 8.3 HotFix - Upgrade of OpenSSL on Windows Master or Media Server (ET 4021901) (NetBackup 8.3 ホットフィックス - Windows マスターサーバーまたはメディアサーバー上の OpenSSL のアップグレード (ET 4021901))
- https://www.veritas.com/support/ja_JP/downloads/update.UPD475064
- NetBackup 8.3 HotFix - Upgrade of OpenSSL on Windows Clients (ET 4022116) (NetBackup 8.3 ホットフィックス - Windows クライアント上の OpenSSL のアップグレード (ET 4022116))
- https://www.veritas.com/support/ja_JP/downloads/update.UPD870749
- NetBackup OpsCenter 8.3 HotFix - Upgrade of OpenSSL on Windows OpsCenter Servers (ET 4022185) (NetBackup OpsCenter 8.3 ホットフィックス - Windows OpsCenter サーバー上の OpenSSL のアップグレード (ET 4022185))
- https://www.veritas.com/support/ja_JP/downloads/update.UPD606869
- NetBackup 8.3.0.1 向けの OpenSSL 更新ホットフィックス
- NetBackup 8.3.0.1 HotFix - Upgrade of OpenSSL on Windows Master or Media Server (ET 4019812) (NetBackup 8.3.0.1 ホットフィックス - Windows マスターサーバーまたはメディアサーバー上の OpenSSL のアップグレード (ET 4019812))
- https://www.veritas.com/support/ja_JP/downloads/update.UPD793441
- NetBackup 8.3.0.1 HotFix - Upgrade of OpenSSL on Windows Clients (ET 4021146) (NetBackup 8.3.0.1 ホットフィックス - Windows クライアント上の OpenSSL のアップグレード (ET 4021146))
- https://www.veritas.com/support/ja_JP/downloads/update.UPD882155
- NetBackup OpsCenter 8.3.0.1 HotFix - Upgrade of OpenSSL on Windows OpsCenter Servers (ET 4021447) (NetBackup OpsCenter 8.3.0.1 ホットフィックス - Windows OpsCenter サーバー上の OpenSSL のアップグレード (ET 4021447))
- https://www.veritas.com/support/ja_JP/downloads/update.UPD480348
お問い合わせ
この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。