Revisiones
1.0: 18 de marzo de 2019: lanzamiento inicial
1.1: 19 de marzo de 2019: Id. de CVE agregados
Resumen
Varias vulnerabilidades en appliance de NetBackup de Veritas.
| Problema | Descripción | Gravedad | Versión reparada |
|---|---|---|---|
| 1 | Se le aparece al administrador la contraseña de SMTP | Nivel de seguridad medio | Marzo de 2019, EEB |
| 2 | Se le aparece al administrador la contraseña del servidor proxy | Nivel de seguridad medio | Marzo de 2019, EEB |
Problemas
Problema n.º 1
Se le aparece al administrador la contraseña de SMTP.
Id. de CVE: CVE-2019-9868
Gravedad: media
Puntaje base del CVSS v3: 6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)
Al utilizar la consola web del appliance de NetBackup, si se ha configurado previamente una contraseña SMTP para su uso, un administrador puede recuperar la contraseña de la cuenta si se ha especificado una, incluso si SMTP no está activo actualmente. Esto expone las credenciales completas de la cuenta al administrador, permitiéndole acceder al servidor SMTP para otros fines, por ejemplo, para cambiar la contraseña e impedir que el appliance envíe correo electrónico.
Productos afectados
- Appliance de NetBackup 3.1.2, 3.1.1 3.1, 3.0, 2.7.3, y, posiblemente, versiones anteriores sin soporte sin el EEB instalado en marzo de 2019.
Problema n.º 2
Se le aparece al administrador la contraseña del servidor proxy.
Id. de CVE: CVE-2019-9867
Gravedad: Media
Puntaje base del CVSS v3: 6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)
Al utilizar la consola web del appliance de NetBackup, si se ha configurado previamente una contraseña del servidor proxy para su uso, un administrador puede recuperar la contraseña de la cuenta, incluso si Call Home o el servidor proxy no están activos actualmente. Esto expone las credenciales completas de la cuenta al administrador, permitiéndole acceder al servidor proxy para otros fines, por ejemplo, para cambiar la contraseña e impedir que el appliance utilice el servidor proxy.
Nota: para el appliance de NetBackup 3.1.1 y 3.1.2, aparece "<saved>" en lugar de la contraseña real. Sin embargo, se puede encontrar la contraseña en el HTML de la página.
Productos afectados
- Appliance de NetBackup 3.1.2, 3.1.1 3.1, 3.0, 2.7.3 y, posiblemente, versiones anteriores sin soporte sin el EEB instalado en marzo de 2019.
Referencias
Preguntas
Si tiene alguna pregunta acerca de la información en este aviso de seguridad, póngase en contacto con el Soporte técnico de Veritas.
Prácticas recomendadas
Como parte de las prácticas recomendadas normales, Veritas les recomienda lo siguiente a los clientes:
- Restringir el acceso de los sistemas de administración o gestión a usuarios privilegiados.
- Restringir el acceso remoto, si es necesario, solo a sistemas de confianza o autorizados.
- Mantener actualizados todos los sistemas operativos y aplicaciones con los parches más recientes de los proveedores.
- Adoptar un enfoque de seguridad de varios niveles. Ejecutar aplicaciones de firewall y antimalware, como mínimo, para proporcionar múltiples puntos de detección y protección contra las amenazas entrantes y salientes.
- Implementar sistemas de detección de intrusos basados en la red y el host para supervisar el tráfico de la red en busca de indicios de actividad anómala o sospechosa. Esto puede ayudar a detectar ataques o actividades maliciosas relacionadas con la explotación de vulnerabilidades latentes.
Renuncia de responsabilidad
EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL", Y TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, ADAPTACIÓN A UN FIN PARTICULAR O NO INCUMPLIMIENTO, NO SON VÁLIDAS, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. Veritas Technologies LLC NO SERÁ RESPONSABLE DE LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.
Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043
© 2019 Veritas Technologies LLC. Todos los derechos reservados. Veritas, el logotipo de Veritas y NetBackup son marcas comerciales o marcas comerciales registradas por Veritas Technologies LLC o sus filiales en los Estados Unidos y en otros países. Los demás nombres pueden ser marcas registradas de sus respectivos propietarios.