Security Advisory relativo ai server e ai client di NetBackup

Cronologia delle revisioni

• 1.0: 14 marzo 2023 – Rilascio pubblico iniziale
• 1.1: 26 maggio 2023 – Aggiornamento delle versioni del prodotto interessate e aggiunta di informazioni relative a possibili soluzioni

Riepilogo

Veritas ha risolto una vulnerabilità che interessa i server e i client di NetBackup.

Problema

Scrittura di file arbitrari

BPCD consente a un utente senza privilegi di creare o modificare un file arbitrario durante l'esecuzione di un comando NetBackup. Può essere usato per elevare i privilegi e compromettere il sistema.

• CVE ID: CVE-2023-28758
• Gravità: alta
• Punteggio base CVSS v3.1: 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• Prodotti interessati e relative versioni:
  • Server primario, media server e client di NetBackup – versione 8.2 e versioni precedenti.
  • Negli ambienti in cui i server primari e tutti i media server sono aggiornati alla versione 8.3 o successive, tali server NON sono vulnerabili (consultare la tabella 1 riportata di seguito).
• Azioni consigliate:
  • Preferita: eseguire l'upgrade alla versione 8.3 o successive.

Tabella 1. Sono vulnerabile?

Possibile soluzione

Possibile soluzione per ambienti con client o media server per cui non è possibile eseguire l'upgrade alla versione 8.3 o versioni più recenti (effettuare entrambe le azioni):

• Rimuovere gli accessi senza diritti di amministratore da tutti i server di NetBackup. Gli utenti che non sono amministratori di sistema o di NetBackup non possono accedere, a livello di sistema operativo, o eseguire comandi sul server primario o sul media server di NetBackup.
• Consultare le voci SERVER e MEDIA_SERVER nelle proprietà bp.conf/host e rimuovere le voci per i sistemi con versioni di NetBackup precedenti alla 8.3.

Note

Una best practice per tutti gli ambienti di NetBackup consiste nel leggere le voci SERVER e MEDIA_SERVER nelle proprietà bp.conf/host per ogni host e rimuovere le voci per i sistemi non più esistenti o che non comunicano con l'host. Questa è in linea con il principio del privilegio minimo per limitare l'accesso solo ai sistemi che lo necessitano.

Questo problema è stato risolto in precedenza ma non era stato generato un Security Advisory a riguardo. NetBackup 8.3 e le versioni successive contengono la correzione e non sono necessarie azioni se si utilizzano tali versioni.

Domande

Per domande o problemi relativi a questa vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT)

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE IN QUESTA DOCUMENTAZIONE SONO SOGGETTE A MODIFICA SENZA PREAVVISO. QUALSIASI INDICAZIONE DI PIANI PER I PRODOTTI È DA CONSIDERARSI PRELIMINARE E TUTTE LE DATE DI RILASCIO FUTURE SONO PROVVISORIE E SOGGETTE A MODIFICA. QUALSIASI VERSIONE FUTURA DEL PRODOTTO O MODIFICA PIANIFICATA ALLE CAPACITÀ, FUNZIONALITÀ O CARATTERISTICHE DEL PRODOTTO È SOGGETTA ALLA COSTANTE VALUTAZIONE DA PARTE DI VERITAS, PUÒ NON ESSERE IMPLEMENTATA E NON DEVE ESSERE CONSIDERATA COME IMPEGNO DEFINITIVO DA PARTE DI VERITAS NÉ TANTOMENO ESSERE UTILIZZATA COME BASE PER LE DECISIONI.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054