VTS22-019

HotFix für die Sicherheitslücke, die NetBackup Flex Scale und Access Appliance betrifft

Bisherige Aktualisierungen

  • 1.0: 30. November 2022 – Öffentliche Erstfassung
  • 1.1: 8. December 2022 – CVE-ID hinzugefügt

Zusammenfassung

Veritas hat Sicherheitslücken behoben, die Auswirkungen auf NetBackup Flex Scale und Access Appliance hatten

Probleme

Problem Nr. 1 – Nicht authentifizierte Ausführung von Remote-Befehlen

Access Appliance und NetBackup Flex Scale sind einer Sicherheitslücke in Bezug auf die nicht authentifizierte Ausführung von Remote-Befehlen ausgesetzt.

  • CVE-ID: CVE-2022-46414
  • Schweregrad: kritisch
  • CVSS v3.1 Base Score: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
  • Betroffene Produkte und Versionen:
    • NetBackup Flex Scale 3.0 und frühere Versionen
    • Access Appliance 8.0.100 und frühere Versionen
  • Empfohlene Maßnahmen:
    • NetBackup Flex Scale: Nehmen Sie ein Upgrade auf Version 3.0 vor und wenden Sie den HotFix an
    • Access Appliance: Nehmen Sie ein Upgrade auf Version 7.4.3.300 oder 8.0.100 vor und wenden Sie zur Korrektur den HotFix an.

Problem Nr. 2 –Authentifizierte Ausführung von Remote-Befehlen

Access Appliance und NetBackup Flex Scale sind einer Sicherheitslücke in Bezug auf die authentifizierte Ausführung von Remote-Befehlen ausgesetzt

  • CVE ID: CVE-2022-46413
  • Schweregrad: hoch
  • CVSS v3.1 Base Score: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Betroffene Produkte und Versionen:
    • NetBackup Flex Scale 3.0 und frühere Versionen
    • Access Appliance 8.0.100 und frühere Versionen
  • Empfohlene Maßnahmen:
    • NetBackup Flex Scale: Nehmen Sie ein Upgrade auf Version 3.0 vor und wenden Sie den HotFix an
    • Access Appliance: Nehmen Sie ein Upgrade auf Version 7.4.3.300 oder 8.0.100 vor und wenden Sie zur Korrektur den HotFix an.

Problem Nr. 3 – Standardidentifikationsdaten für primären Nutzer bleiben bestehen

Nach der Installation bleibt ein Standardpasswort bestehen und kann möglicherweise erkannt und zum Eskalieren von Berechtigungen verwendet werden.

  • CVE ID: CVE-2022-46411
  • Schweregrad: hoch
  • CVSS v3.1 Base Score: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Betroffene Produkte und Versionen:
    • NetBackup Flex Scale 3.0 und frühere Versionen
    • Access Appliance 8.0.100 und frühere Versionen
  • Empfohlene Maßnahmen:
    • NetBackup Flex Scale: Nehmen Sie ein Upgrade auf Version 3.0 vor und wenden Sie den HotFix an
    • Access Appliance: Nehmen Sie ein Upgrade auf Version 7.4.3.300 oder 8.0.100 vor und wenden Sie zur Korrektur den HotFix an.

Problem Nr. 4 – Shell mit Einschränkungen ermöglicht das Ausweichen auf eine herkömmliche Shell

Ein Benutzer ohne Berechrigungen kann eine Shell mit Einschränkungen verlassen und Befehle ausführen, für die eine Berechtigung erforderlich ist.

  • CVE ID: CVE-2022-46412
  • Schweregrad: hoch
  • CVSS v3.1 Base Score: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Betroffene Produkte und Versionen:
    • NetBackup Flex Scale 3.0 und frühere Versionen
  • Empfohlene Maßnahmen:
    • NetBackup Flex Scale: Nehmen Sie ein Upgrade auf Version 3.0 vor und wenden Sie den HotFix an

Problem Nr. 5 – Eskalation von Shell-Berechtigungen

Ein Angreifer ohne Root-Berechtigungen kann mittels bestimmter Befehle Root-Berechtigungen eskalieren.

  • CVE ID: CVE-2022-46410
  • Schweregrad: hoch
  • CVSS v3.1 Base Score: 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • Betroffene Produkte und Versionen:
    • NetBackup Flex Scale 3.0 und frühere Versionen
  • Empfohlene Maßnahmen:
    • NetBackup Flex Scale: Nehmen Sie ein Upgrade auf Version 3.0 vor und wenden Sie den HotFix an

Hinweise

Besuchen Sie die Download-Seite des Veritas Supports, um den entsprechenden HotFix für NetBackup Flex Scale oder Access Appliance herunterzuladen.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit dieser Sicherheitslücke wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE)

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.ALLE ZUKUNFTWEISENDEN HINWEISE AUF PLÄNE FÜR PRODUKTE SIND VORLÄUFIG UND SÄMTLICHE ZUKÜNFTIGEN VERÖFFENTLICHUNGSTERMINE SIND UNVERBINDLICH UND KÖNNEN GEÄNDERT WERDEN. JEDE ZUKÜNFTIGE VERSION DES PRODUKTS ODER GEPLANTE ÄNDERUNGEN AN PRODUKTFÄHIGKEITEN ODER -FUNKTIONEN UNTERLIEGEN DER FORTLAUFENDEN EVALUIERUNG DURCH VERITAS. DIESE ÄNDERUNGEN MÜSSEN ABER NICHT IMPLEMENTIERT WERDEN. SIE SOLLTEN NICHT ALS FESTE ZUSAGEN DURCH VERITAS ANGESEHEN WERDEN UND NICHT ALS VERBINDLICH BEI DER ENTSCHEIDUNG BETRACHTET WERDEN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054