リビジョン
1.0: 2019 年 7 月 29 日: 初回発行
1.1: 2019 年 7 月 30 日: CVE ID を追加
1.2: 2019 年 7 月 31 日: すべての問題の影響を受ける製品を修正、問題 4 の重大度を修正
概要
Veritas Resiliency Platform (VRP) における複数の脆弱性
| 問題 | 説明 | 重大度 |
|---|---|---|
| 1 | アプリケーションバンドルのアップロードに関連するディレクトリトラバーサルの脆弱性 | 重大 |
| 2 | DNS サーバー構成に関連する、ルート権限による任意コマンド実行の脆弱性 | 高 |
| 3 | Resiliency Plan およびカスタムスクリプトに関連する、ルート権限による任意コマンド実行の脆弱性 | 高 |
| 4 | Resiliency Plan に関連する XSS の脆弱性 | 中 |
問題
問題 1
アプリケーションバンドルをアップロードする際に、ディレクトリトラバーサルの脆弱性により、十分な権限を持つ VRP ユーザーが VRP 仮想マシン上の任意のファイルを上書きすることができます。悪意のある VRP ユーザーがこの脆弱性を悪用すると、既存のファイルを置き換えて VRP 仮想マシンを制御できる可能性があります。
CVE ID: CVE-2019-14415
重大度: 重大
CVSS v3 基本スコア: 9.1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
影響を受ける製品
- VRP 3.3.2 HF14 より前のすべてのバージョン
問題 2
任意コマンド実行の脆弱性により、DNS 機能に関連して、悪意のある VRP ユーザーが VRP 仮想マシンでルート権限を使ってコマンドを実行することができます。
CVE ID: CVE-2019-14416
重大度: 高
CVSS v3 基本スコア: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
影響を受ける製品
- VRP 3.3.2 HF14 より前のすべてのバージョン
問題 3
任意コマンド実行の脆弱性により、Resiliency Plan およびカスタムスクリプトに関連して、悪意のある VRP ユーザーが VRP 仮想マシンでルート権限を使ってコマンドを実行することができます。
CVE ID: CVE-2019-14417
重大度: 高
CVSS v3 基本スコア: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
影響を受ける製品
- VRP 3.3.2 HF14 より前のすべてのバージョン
問題 4
持続型クロスサイトスクリプティング (XSS) の脆弱性により、Resiliency Plan 機能に関連して、悪意のある VRP ユーザーが他のユーザーのブラウザに悪質なスクリプトを挿入することができます。
CVE ID: CVE-2019-14418
重大度: 中
CVSS v3 基本スコア: 5.9 (AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L)
影響を受ける製品
- VRP 3.3.2 HF14 より前のすべてのバージョン
お問い合わせ
このセキュリティアドバイザリの情報についてご不明な点がある場合は、ベリタステクニカルサポートにご連絡ください。
ベストプラクティス
通常のベストプラクティスの一環として、ベリタスは以下のことを推奨します。
- 管理システムへのアクセスを特権ユーザーのみに制限する。
- 必要に応じて、リモートアクセスを信頼できるシステムや認証されたシステムのみに制限する。
- すべてのオペレーティングシステムとアプリケーションに常にベンダーの最新のパッチを適用しておく。
- 多層的なセキュリティ対策を導入する。少なくともファイアウォールおよびマルウェア対策アプリケーションの両方を実行し、外部および内部からのいずれの脅威に対しても複数の検出ポイントや保護ポイントを設定してください。
- ネットワークベースおよびホストベースの侵入検知システムを導入し、異常な活動や不審な活動の兆候がないか、ネットワークトラフィックを監視する。これにより、潜在的な脆弱性の悪用に関連した攻撃や悪質な活動を検出できる場合があります。
免責
本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054
© 2019 Veritas Technologies LLC. All rights reserved. Veritas、Veritas ロゴ、および NetBackup は、Veritas Technologies LLC または関連会社の米国およびその他の国における商標または登録商標です。その他の会社名、製品名は各社の登録商標または商標です。