VTS22-019

针对影响 NetBackup Flex Scale 和 Access Appliance 的安全公告的修补程序

修订历史记录

  • 1.0: 2022 年 11 月 30 日 – 首次公开发布
  • 1.1: 2022 年 12 月 08 日 – 增加了 CVE ID

摘要

Veritas 已经解决了影响 NetBackup Flex Scale 和 Access Appliance 的漏洞

问题

问题 1 - 未经身份验证的远程命令执行

Access Appliance 和 NetBackup Flex Scale 容易通过未经身份验证的远程命令执行漏洞受到攻击。

  • CVE ID: CVE-2022-46414
  • 严重性:严重
  • CVSS v3.1 基础评分:9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
  • 受影响的产品和版本:
    • NetBackup Flex Scale 3.0 及更低版本
    • Access Appliance 8.0.100 及更低版本
  • 建议采取的措施:
    • NetBackup Flex Scale:升级到版本 3.0 并应用修补程序
    • Access Appliance:升级到 7.4.3.300 或 8.0.100,并应用相应的修补程序。

问题 2 - 经过身份验证的远程命令执行

Access Appliance 和 NetBackup Flex Scale 容易通过经过身份验证的远程命令执行漏洞受到攻击。

  • CVE ID: CVE-2022-46413
  • 严重性:高
  • CVSS v3.1 基础评分:8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 受影响的产品和版本:
    • NetBackup Flex Scale 3.0 及更低版本
    • Access Appliance 8.0.100 及更低版本
  • 建议采取的措施:
    • NetBackup Flex Scale:升级到版本 3.0 并应用修补程序
    • Access Appliance:升级到版本 7.4.3.300 或 8.0.100,并应用相应的修补程序。

问题 3 - 为主要用户保留默认凭据

安装后默认密码会保留下来,可能会被人发现并用于升级权限。

  • CVE ID: CVE-2022-46411
  • 严重性:高
  • CVSS v3.1 基础评分:8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 受影响的产品和版本:
    • NetBackup Flex Scale 3.0 及更低版本
    • Access Appliance 8.0.100 及更低版本
  • 建议采取的措施:
    • NetBackup Flex Scale:升级到版本 3.0 并应用修补程序
    • Access Appliance:升级到 7.4.3.300 或 8.0.100,并应用相应的修补程序。

问题 4 - 受限的 Shell 允许转义为常规 Shell

非特权用户有可能转义受限的 Shell 并执行特权命令。

  • CVE ID: CVE-2022-46412
  • 严重性:高
  • CVSS v3.1 基础评分:8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 受影响的产品和版本:
    • NetBackup Flex Scale 3.0 及更低版本
  • 建议采取的措施:
    • NetBackup Flex Scale:升级到版本 3.0 并应用修补程序

问题 5 - Shell 权限升级

没有根权限的攻击者可能会使用特定命令,将一般权限升级为根权限。

  • CVE ID: CVE-2022-46410
  • 严重性:高
  • CVSS v3.1 基础评分:8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 受影响的产品和版本:
    • NetBackup Flex Scale 3.0 及更低版本
  • 建议采取的措施:
    • NetBackup Flex Scale:升级到版本 3.0 并应用修补程序

注意事项

要下载适用于 NetBackup Flex Scale 或 Access Appliance 的修补程序,请参阅 Veritas 支持下载页面

疑问

如有关于此漏洞的疑问或问题,请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)

免责声明

本安全公告按“原样”提供,对于所有明示或暗示的条款、陈述和保证,包括任何适销性、针对特定用途的适用性或未侵权的暗示保证,均不提供任何担保,除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改,恕不另行通知。此处对产品计划做出的预见性表示均为初步结果,所有未来的发布日期都是暂定的,随时可能发生更改。产品的任何未来版本或对产品的能力、功能或特性所做的任何计划内修改均要经过 VERITAS 的持续评估,无论实施与否,均不能视为 VERITAS 所做的确定承诺及制定决策的依据。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054