VTS22-019

NetBackup Flex Scale および Access アプライアンスに影響するセキュリティアドバイザリのホットフィックス

リビジョン履歴

  • 1.0: 2022 年 11 月 30 日 - 初回公開
  • 1.1: 2022 年 12 月 08 日 – CVE ID を追加

概要

ベリタスは、NetBackup Flex Scale および Access アプライアンスに影響を与える脆弱性に対応しました。

問題

問題 1 - 認証されていないリモートコマンド実行の脆弱性

Access アプライアンスおよび NetBackup Flex Scale は、認証されていないリモートコマンド実行の脆弱性の影響を受けます。

  • CVE ID: CVE-2022-46414
  • 重大度: 重大
  • CVSS v3.1 基本スコア: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
  • 影響を受ける製品およびバージョン:
    • NetBackup Flex Scale 3.0 およびそれ以前
    • Access アプライアンス 8.0.100 およびそれ以前
  • 対処方法:
    • NetBackup Flex Scale: バージョン 3.0 にアップグレードし、ホットフィックスを適用してください。
    • Access アプライアンス: 7.4.3.300 または 8.0.100 にアップグレードし、対応するホットフィックスを適用してください。

問題 2 - 認証済みのリモートコマンド実行の脆弱性

Access アプライアンスおよび NetBackup Flex Scale は、認証済みのリモートコマンド実行の脆弱性の影響を受けます。

  • CVE ID: CVE-2022-46413
  • 重大度: 高
  • CVSS v3.1 基本スコア: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 影響を受ける製品およびバージョン:
    • NetBackup Flex Scale 3.0 およびそれ以前
    • Access アプライアンス 8.0.100 およびそれ以前
  • 対処方法:
    • NetBackup Flex Scale: バージョン 3.0 にアップグレードし、ホットフィックスを適用してください。
    • Access アプライアンス: バージョン 7.4.3.300 または 8.0.100 にアップグレードし、対応するホットフィックスを適用してください。

問題 3 - デフォルトのクレデンシャルがプライマリユーザー向けに保持される脆弱性

インストール後にデフォルトのパスワードが保持され、それが検出されることにより、権限昇格に使用されてしまう恐れがあります。

  • CVE ID: CVE-2022-46411
  • 重大度: 高
  • CVSS v3.1 基本スコア: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 影響を受ける製品およびバージョン:
    • NetBackup Flex Scale 3.0 およびそれ以前
    • Access アプライアンス 8.0.100 およびそれ以前
  • 対処方法:
    • NetBackup Flex Scale: バージョン 3.0 にアップグレードし、ホットフィックスを適用してください。
    • Access アプライアンス: 7.4.3.300 または 8.0.100 にアップグレードし、対応するホットフィックスを適用してください。

問題 4 - 標準シェルへの回避を許可する制限付きシェルの脆弱性

権限のないユーザーが、制限付きシェルを回避して特権コマンドを実行できる可能性があります。

  • CVE ID: CVE-2022-46412
  • 重大度: 高
  • CVSS v3.1 基本スコア: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 影響を受ける製品およびバージョン:
    • NetBackup Flex Scale 3.0 およびそれ以前
  • 対処方法:
    • NetBackup Flex Scale: バージョン 3.0 にアップグレードし、ホットフィックスを適用してください。

問題 5 - シェル権限昇格の脆弱性

root 以外の権限を持つ攻撃者が、特定のコマンドを使って権限を root に昇格できる恐れがあります。

  • CVE ID: CVE-2022-46410
  • 重大度: 高
  • CVSS v3.1 基本スコア: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 影響を受ける製品およびバージョン:
    • NetBackup Flex Scale 3.0 およびそれ以前
  • 対処方法:
    • NetBackup Flex Scale: バージョン 3.0 にアップグレードし、ホットフィックスを適用してください。

注意

NetBackup Flex Scale または Access アプライアンス用の適切なホットフィックスをダウンロードするには、ベリタスサポートのダウンロードページを参照してください。

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。製品の計画に関する将来的な記述は仮のものであり、将来のリリース日はすべて暫定であり、変更の対象になります。今後の製品のリリースや予定されている機能修正についてはベリタスが継続的な評価を行っており、実装されるかどうかは確定していません。したがって、購入の意思決定の理由にすべきではありません。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054