VTS22-015

NetBackup Java 管理コンソールに影響するセキュリティアドバイザリのホットフィックス

リビジョン履歴

  • 1.0 2022 年 11 月 15 日 - 初回公開
  • 1.1: 2022 年 11 月 18 日 – CVE ID を追加

概要

ベリタスは、NetBackup Java 管理コンソールに影響を与える、OS コマンドインジェクションの脆弱性に対応しました。この問題に対して脆弱かどうかを確認するには、以下の「注意」セクションを参照してください。明示的に auth.conf ファイルに追加されているユーザーだけが、この脆弱性を悪用できます。

問題

OS コマンドインジェクションの脆弱性

NetBackup Jave 管理コンソールに存在する脆弱性により、明示的に auth.conf ファイルに追加されている認証済みの root 以外のユーザーが、root として任意のコマンドを実行できてしまう恐れがあります。

  • CVE ID: CVE-2022-45461
  • 重大度: 高
  • CVSS v3.1 基本スコア: 7.5 AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
  • 影響を受ける可能性のあるコンポーネント: プライマリサーバー、メディアサーバー、およびクライアント (以下の「注意」を参照してください)。
  • 対処方法:
    • NetBackup: 8.2、8.3.0.1、8.3.0.2、9.0.0.1、9.1.0.1、10.0.0.1、または 10.1 にアップグレードし、対応するホットフィックスを適用してください。
    • NetBackup アプライアンス: 3.2、3.3.0.1、3.3.0.2、4.0.0.1、4.1.0.1、または 5.0.0.1 MR1 にアップグレードし、適切なホットフィックスを適用してください。
    • Flex アプライアンス: Flex アプライアンス上の NetBackup コンテナのバージョンに対応する NetBackup のホットフィックスを適用してください。
    • Flex Scale: ベリタステクニカルサポートに連絡し、ナレッジベースの記事 ID 100053006 を参照して修正を入手してください。

注意

/usr/openv/java/auth.conf ファイルは、NetBackup 管理コンソールの機能に対するアクセスを許可します。デフォルトでは、このファイルは管理権限を持つ root によってのみ作成されます。このファイルは、プライマリサーバー、メディアサーバー、およびクライアント上に存在します。

auth.conf に root 以外のユーザーを追加して変更し、そのようなユーザーに対してプライマリサーバー、メディアサーバー、およびクライアントの管理を許可していない限り、この脆弱性の影響を受けることはなく、修正は必要ありません。

この問題は、Unix ベースのサーバーおよびクライアントにのみ影響します。Windows ベースのサーバーやクライアントには影響しません。

ホットフィックスでは、Java 管理コンソールの接続先システムに存在する脆弱な bpjava バイナリを更新します。

auth.conf について詳しくは、https://www.veritas.com/support/ja_JP/doc/32258597-155681893-0/v41641695-155681893 を参照してください。

お問い合わせ

本アドバイザリに関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。

謝辞

この問題を弊社にご報告いただいた Nordea Backup チームに感謝いたします。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。製品の計画に関する将来的な記述は仮のものであり、将来のリリース日はすべて暫定であり、変更の対象になります。今後の製品のリリースや予定されている機能修正についてはベリタスが継続的な評価を行っており、実装されるかどうかは確定していません。したがって、購入の意思決定の理由にすべきではありません。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054