リビジョン
1.0: 2018 年 10 月 26 日: 初回発行
1.1: 2018 年 11 月 20 日: 概要を修正
1.2: 2019 年 1 月 18 日: 緩和策へのリンクを追加
概要
Veritas NetBackup アプライアンスにおけるリモートコマンド実行の脆弱性。
| 問題 | 説明 | 重大度 | 修正されたバージョン |
|---|---|---|---|
1 |
高 |
NetBackup アプライアンス 3.1.2 |
問題
問題 1
Veritas NetBackup アプライアンスでのリモートコマンド実行の脆弱性により、認証された管理者が任意のコマンドを root 権限で実行することが可能になります。この問題は、ユーザーによって提供された入力のフィルタ処理が不十分だったために発生しました。
CVE ID: CVE-2018-18652
重大度: 高
CVSS v3 基本スコア: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
重要点:
- 悪意のある管理者が、変更を検出されることなくバックアップデータを削除、改ざんするために、またはその他の目的のため(アプライアンスにマルウェアをインストールするなど)に、この脆弱性を利用する可能性があります。
- この脆弱性の影響を受けるのはアプライアンスの管理者アカウントのみで、ユーザーアカウントには影響しません。
- また、この脆弱性の影響を受けるのは NetBackup アプライアンスのみで、NetBackup には影響しません。
影響を受ける製品
- NetBackup アプライアンス 3.1.1 およびそれ以前のバージョン
緩和策
- この問題については、すでに緩和策があります。詳しくは、このリンクを参照してください。
お問い合わせ
このセキュリティアドバイザリの情報についてご不明な点がある場合は、ベリタステクニカルサポートにご連絡ください。
ベストプラクティス
通常のベストプラクティスの一環として、ベリタスは以下のことを推奨します。
- 管理システムへのアクセスを特権ユーザーのみに制限する。
- 必要に応じて、リモートアクセスを信頼できるシステムや認証されたシステムのみに制限する。
- すべてのオペレーティングシステムとアプリケーションに常にベンダーの最新のパッチを適用しておく。
- 多層的なセキュリティ対策を導入する。少なくともファイアウォールおよびマルウェア対策アプリケーションの両方を実行し、外部および内部からのいずれの脅威に対しても複数の検出ポイントや保護ポイントを設定してください。
- ネットワークベースおよびホストベースの侵入検知システムを導入し、異常な活動や不審な活動の兆候がないか、ネットワークトラフィックを監視する。これにより、潜在的な脆弱性の悪用に関連した攻撃や悪質な活動を検出できる場合があります。
免責
本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。
Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043
© 2017 Veritas Technologies LLC. All rights reserved. Veritas、Veritas ロゴ、および NetBackup は、Veritas Technologies LLC または関連会社の米国およびその他の国における商標または登録商標です。その他の会社名、製品名は各社の登録商標または商標です。