NetBackup サーバーおよびクライアントに影響するセキュリティアドバイザリ

リビジョン履歴

• 1.0: 2023 年 3 月 14 日 - 初回公開
• 1.1: 2023 年 5 月 26 日 - 影響を受ける製品およびバージョンを更新し、緩和策情報を追加

概要

ベリタスは、NetBackup サーバーおよびクライアントに影響を与える脆弱性に対応しました。

問題

任意のファイル書き込みの脆弱性

BPCD では、任意の NetBackup コマンドの実行時に、権限のないユーザーが任意のファイルを作成または変更できてしまいます。このことが権限の昇格やシステムへの侵入に悪用される可能性があります。

• CVE ID: CVE-2023-28758
• 重大度: 高
• CVSS v3.1 基本スコア: 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• 影響を受ける製品およびバージョン:
  • NetBackup プライマリサーバー、メディアサーバー、およびクライアント - 8.2 およびそれ以前のバージョン
  • プライマリサーバーとすべてのメディアサーバーのバージョンが 8.3 またはそれ以降の環境では、プライマリサーバーもメディアサーバーもこの問題に対して脆弱ではありません (以下の表 1 を参照)。
• 対処方法:
  • 推奨: バージョン 8.3 またはそれ以降にアップグレードしてください。

表 1. 脆弱性の影響

緩和策

バージョン 8.3 にアップグレードできないクライアントやメディアサーバーが存在する環境での緩和策は次のとおりです (両方を実行してください)。

• すべての NetBackup サーバーから管理者以外のアクセス権を削除してください。システム管理者または NetBackup 管理者ではないユーザーが、NetBackup プライマリサーバーおよびメディアサーバーに (OS レベルで) ログインしたり、サーバー上でコマンドを実行したりできないようにする必要があります。
• bp.conf/ホストプロパティの SERVER および MEDIA_SERVER エントリを確認し、NetBackup 8.3 またはそれ以降のバージョンではないシステムに対するエントリを削除してください。

注意

すべての NetBackup 環境に対するベストプラクティスは、各ホストについて bp.conf/ホストプロパティの SERVER および MEDIA_SERVER エントリを確認し、すでに存在しないシステムに対するエントリを削除するか、そのようなホストと通信しないようにすることです。最小権限の原則に従って、アクセスが必要なシステムに対してのみにアクセスを制限するようにしてください。

この問題はすでに対応済みでしたが、その時点ではセキュリティアドバイザリは作成されませんでした。NetBackup バージョン 8.3 以降には修正が含まれているため、これらのリリースを使用している場合、対処する必要はありません。

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。製品の計画に関する将来的な記述は仮のものであり、将来のリリース日はすべて暫定であり、変更の対象になります。今後の製品のリリースや予定されている機能修正についてはベリタスが継続的な評価を行っており、実装されるかどうかは確定していません。したがって、購入の意思決定の理由にすべきではありません。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054