RCE-Sicherheitslücke (Remote Code Execution), die NetBackup-Server und -Clients betrifft

VTS23-010

RCE-Sicherheitslücke (Remote Code Execution), die NetBackup-Server und -Clients betrifft

Bisherige Aktualisierungen

1.0: 18. Juli 2023 – Öffentliche Erstfassung

Zusammenfassung

Veritas hat eine RCE-Sicherheitslücke (Remote Code Execution) geschlossen, die NetBackup-Server und -Clients betrifft.

Remote Code Execution

Der NetBackup-BPCD-Prozess validiert den Dateipfad unzureichend, sodass ein nicht authentifizierter Angreifer eine benutzerdefinierte Datei hochladen und ausführen kann.

CVE-ID: noch zuzuweisen.
Schweregrad: kritisch
CVSS v3.1 Base Score: 9.8: (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Betroffene Produkte und Versionen:
- NetBackup-Primär-Server, -Medienserver und -Clients – vor 8.1.2
- NetBackup Appliance – vor 3.1.2
Empfohlene Maßnahmen:
- Für NetBackup: Wenn Sie eine Version vor 8.1.2 verwenden, führen Sie ein Upgrade auf Version 8.3.0.2 oder höher durch. Wenn Sie aktuell 8.1.2 oder höher verwenden, ist keine Aktion erforderlich.
- Für NetBackup-Appliance: Wenn Sie eine Version vor 3.1.2 verwenden, führen Sie ein Upgrade auf Version 3.3.0.2 MR2 oder höher durch. Wenn Sie aktuell 3.1.2 oder höher verwenden, ist keine Aktion erforderlich.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit dieser Sicherheitslücke wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE).

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN. ALLE ZUKUNFTSWEISENDEN HINWEISE AUF PLÄNE FÜR PRODUKTE SIND VORLÄUFIG UND SÄMTLICHE ZUKÜNFTIGEN VERÖFFENTLICHUNGSTERMINE SIND UNVERBINDLICH UND KÖNNEN GEÄNDERT WERDEN. JEDE ZUKÜNFTIGE VERSION DES PRODUKTS ODER GEPLANTE ÄNDERUNGEN AN PRODUKTFÄHIGKEITEN ODER -FUNKTIONEN UNTERLIEGEN DER FORTLAUFENDEN EVALUIERUNG DURCH VERITAS. DIESE ÄNDERUNGEN MÜSSEN ABER NICHT IMPLEMENTIERT WERDEN. SIE SOLLTEN NICHT ALS FESTE ZUSAGEN DURCH VERITAS ANGESEHEN WERDEN UND NICHT ALS VERBINDLICH BEI DER ENTSCHEIDUNG BETRACHTET WERDEN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA