Sicherheitsempfehlung zum NetBackup-Masterserver

Bisherige Aktualisierungen

• 1.0: 14. März 2023 – Öffentliche Erstfassung
• 1.1: 26. Mai 2023 – Aktualisierung betroffener Produktversionen und Hinzufügung von Informationen zu Gegenmaßnahmen

Zusammenfassung

Veritas hat eine Sicherheitslücke geschlossen, die NetBackup-Server und -Clients betrifft.

Problem

Beliebiger Schreibvorgang in Datei

BPCD ermöglicht einem nicht berechtigten Benutzer, eine beliebige Datei bei der Ausführung eines NetBackup-Befehls zu erstellen oder zu ändern. So können Zugangsdaten umgangen und Systeme beeinträchtigt werden.

• CVE ID: CVE-2023-28758
• Schweregrad: hoch
• CVSS v3.1 Base Score: 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• Betroffenes Produkt und Versionen:
  • NetBackup-Primär-Server, -Medienserver und -Clients – Version 8.2 und früher.
  • In Umgebungen, in denen Primär- und Medienserver mit Version 8.3 oder höher verwendet werden, gibt es diese Schwachstelle NICHT (siehe Tabelle 1 unten).
• Empfohlene Maßnahmen:
  • Bevorzugte Lösung: Upgrade auf Version 8.3 oder höher.

Tabelle 1. Ist mein Gerät gefährdet?

Gegenmaßnahme

Lösung für Umgebungen mit Clients oder Medienservern, die nicht auf Version 8.3 oder höher aktualisiert werden können (beides durchführen):

• Entfernen Sie die Zugangsrechte für Nicht-Administratoren von allen NetBackup-Servern. Nutzer, die weder Systemadministratoren noch NetBackup-Administratoren sind, sollten sich nicht (auf BS-Ebene) bei NetBackup-Primär- und Medienservern anmelden und auch keine Befehle ausführen dürfen.
• Prüfen Sie die Einträge unter SERVER und MEDIA_SERVER in bp.conf/host properties und entfernen Sie Einträge für Systeme, auf denen nicht NetBackup 8.3 oder höher ausgeführt wird.

Hinweise

Best Practice für alle NetBackup-Umgebungen: Prüfen Sie die Einträge unter SERVER und MEDIA_SERVER in bp.conf/host properties für jeden Host und entfernen Sie Einträge für Systeme, die es nicht mehr gibt oder die nicht mit diesem Host kommunizieren. Diese Empfehlung entspricht dem Least-Privilege-Ansatz, um den Zugriff nur auf die Systeme zu begrenzen, die ihn wirklich benötigen.

Dieses Problem wurde schon früher behoben, zum damaligen Zeitpunkt wurde jedoch keine Sicherheitsempfehlung ausgegeben. Die NetBackup-Versionen 8.3 und höher enthalten die Fehlerbehebung bereits, sodass keine Maßnahmen erforderlich sind, wenn Sie eine dieser Versionen verwenden.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit dieser Sicherheitslücke wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE)

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.ALLE ZUKUNFTWEISENDEN HINWEISE AUF PLÄNE FÜR PRODUKTE SIND VORLÄUFIG UND SÄMTLICHE ZUKÜNFTIGEN VERÖFFENTLICHUNGSTERMINE SIND UNVERBINDLICH UND KÖNNEN GEÄNDERT WERDEN. JEDE ZUKÜNFTIGE VERSION DES PRODUKTS ODER GEPLANTE ÄNDERUNGEN AN PRODUKTFÄHIGKEITEN ODER -FUNKTIONEN UNTERLIEGEN DER FORTLAUFENDEN EVALUIERUNG DURCH VERITAS. DIESE ÄNDERUNGEN MÜSSEN ABER NICHT IMPLEMENTIERT WERDEN. SIE SOLLTEN NICHT ALS FESTE ZUSAGEN DURCH VERITAS ANGESEHEN WERDEN UND NICHT ALS VERBINDLICH BEI DER ENTSCHEIDUNG BETRACHTET WERDEN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054