Veritas Alta Recovery Vault における早期削除の脆弱性

リビジョン履歴

• 1.0: 2024 年 5 月 1 日: 初回バージョン
• 1.1: 2024 年 5 月 7 日: CVE ID を追加

概要

10.3.0.1 およびそれ以前のバージョンの Veritas NetBackup の Recovery Vault 機能において脆弱性が発見されました。設計上、ガバナンスモードイメージの保持ロックを無効にできるのはクラウド管理者だけですが、この脆弱性により、NetBackup 管理者がガバナンスモードのバックアップの有効期限を変更できてしまうため、バックアップイメージが想定よりも早く削除される恐れがあります。

問題

CVE ID: CVE-2024-34404
重大度: 中
CVSS v3.1 基本スコア 6.8 (AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N)
CWE-284: 不適切なアクセス制御

前提条件

クラウドベースのデータ保持サービス向けに Veritas Alta Recovery Vault (旧称 NetBackup Recovery Vault) を使用するよう NetBackup サーバーが構成されていること。また、「NetBackup 管理者」ロールを持つユーザーが NetBackup サーバーにアクセスし、クラウドストレージ内のガバナンスモードイメージの有効期限を変更する処理を実行すること。

影響を受けるバージョン

Veritas NetBackup バージョン 10.3.0.1、10.3、10.2.0.1、10.2、10.1.1、10.1、10.0.0.1、10.0、9.1.0.1

Veritas NetBackup アプライアンスバージョン 5.3.0.1、5.3、5.1.1、5.0.0.1、5.0、4.1.0.1

修復策

この脆弱性は、すべての NetBackup Recovery Vault クラウドエンドポイント上ですでに修復されています。Veritas NetBackup Recovery Vault をお使いのお客様は、以下の TechNote に記載されているように最新のホットフィックスをインストールしている場合、それ以上の対応は必要ありません。まだ最新のホットフィックスをインストールしていない場合は、ホットフィックスを早急にインストールしてスケジュールバックアップを継続してください。

詳しくは、次の TechNote を参照してください。

• https://www.veritas.com/support/ja_JP/article.100065322

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054