VTS22-015

Hotfix für Sicherheitslücken, die die NetBackup-Java-Admin-Konsole betreffen

Bisherige Aktualisierungen

  • 1.0: 15. November 2022 – Öffentliche Erstfassung
  • 1.1: 18. November 2022 – CVE-ID hinzugefügt

Zusammenfassung

Veritas hat eine Sicherheitslücke bei einer BS-Befehlsinjektion behoben, die sich auf die NetBackup-Java-Admin-Konsole auswirkt. Bitte sehen Sie im Abschnitt "Hinweise" unten nach, ob Sie von dieser Sicherheitslücke betroffen sind. Nur Benutzer, die explizit der Datei "auth.conf" hinzugefügt wurden, können diese Sicherheitslücke ausnutzen.

Probleme

Sicherheitslücke durch BS-Befehlsinjektion

Eine Sicherheitslücke in der NetBackup-Java-Admin-Konsole lässt zu, dass authentifizierte Benutzer ohne Administratorrechte, die explizit der Datei "auth.conf" hinzugefügt wurden, beliebige Befehle als Root-Benutzer ausführen können.

  • CVE ID: CVE-2022-45461
  • Schweregrad: hoch
  • CVSS v3.1 Base Score:7.5 AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Möglicherweise betroffene Komponenten: primäre Server, Medienserver und Clients. (Siehe "Hinweise" unten).
  • Empfohlene Maßnahmen:
    • NetBackup: Führen Sie ein Upgrade auf 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0.0.1 oder 10.1 durch und wenden Sie das entsprechende Hotfix an.
    • NetBackup-Appliance: Führen Sie ein Upgrade auf 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1 oder 5.0.0.1 MR1 durch und wenden Sie das entsprechende Hotfix an.
    • Flex Appliance: Wenden Sie bitte das NetBackup-Hotfix entsprechend der NetBackup-Container-Version auf Flex Appliances an.
    • Flex Scale: Bitte wenden Sie sich an den technischen Support von Veritas und beziehen Sie sich auf Wissensartikel-ID 100053006, um eine Korrektur zu erhalten.

Hinweise

Die Datei "/usr/openv/java/auth.conf" gewährt Zugriff auf Funktionen in der NetBackup-Administrationskonsole. Diese Datei wird standardmäßig so erstellt, dass nur Root-Benutzer über Administratorrechte verfügen. Diese Datei befindet sich auf primären Servern, Medienservern und Clients.

Eine Umgebung ist nur dann betroffen und der Fix ist nur dann erforderlich, wenn der

Datei "auth.conf" Benutzer ohne Administratorrechte hinzugefügt werden und diesen erlaubt wird, primäre Server, Medienserver oder Clients zu verwalten.

Dies betrifft nur Unix-basierte Server und Clients. Windows-basierte Server und Clients sind hiervon nicht betroffen.

Der Fix aktualisiert die gefährdete bpjava-Binärdatei im Zielsystem, mit der sich die Java-Admin-UI-Konsole verbindet.

Weitere Informationen zu "auth.conf" finden Sie unter: https://www.veritas.com/content/support/de_DE/doc/21733320-149123528-0/v41641695-149123528

Fragen

Bei Fragen oder Problemen im Zusammenhang mit dieser Sicherheitsempfehlung wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE)

Danksagung

Veritas möchte dem Backup-Team von Nordea dafür danken, dass es uns dieses Problem gemeldet hat.

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN. ALLE ZUKUNFTWEISENDEN HINWEISE AUF PLÄNE FÜR PRODUKTE SIND VORLÄUFIG UND SÄMTLICHE ZUKÜNFTIGEN VERÖFFENTLICHUNGSTERMINE SIND UNVERBINDLICH UND KÖNNEN GEÄNDERT WERDEN. JEDE ZUKÜNFTIGE VERSION DES PRODUKTS ODER GEPLANTE ÄNDERUNGEN AN PRODUKTFÄHIGKEITEN ODER -FUNKTIONEN UNTERLIEGEN DER FORTLAUFENDEN EVALUIERUNG DURCH VERITAS. DIESE ÄNDERUNGEN MÜSSEN ABER NICHT IMPLEMENTIERT WERDEN. SIE SOLLTEN NICHT ALS FESTE ZUSAGEN DURCH VERITAS ANGESEHEN WERDEN UND NICHT ALS VERBINDLICH BEI DER ENTSCHEIDUNG BETRACHTET WERDEN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA