VTS22-015

NetBackup Java 관리 콘솔에 영향을 미치는 보안 권고를 위한 핫픽스

리비전 내역

  • 1.0: 2022년 11월 15일 – 최초 공개 릴리스
  • 1.1: 2022년 11월 15일 – CVE ID 추가

요약

베리타스는 NetBackup Java 관리 콘솔에 영향을 미치는 OS 명령어 삽입 취약점을 해결했습니다. 이 문제에 취약한지 확인하려면 아래 “참고” 섹션을 참조하십시오. auth.conf 파일에 명시적으로 추가된 사용자만 이 취약점을 악용할 수 있습니다.

문제

OS 명령어 삽입 취약점

NetBackup Java 관리 콘솔의 취약점으로 인해 인증된 비루트 사용자가 auth.conf 파일에 명시적으로 추가된 경우 임의의 명령을 루트로 실행할 수 있습니다.

  • CVE ID: CVE-2022-45461
  • 심각도: 높음
  • CVSS v3.1 기본 점수: 7.5 AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
  • 잠재적으로 영향받는 구성 요소: 주 서버, 미디어 서버 및 클라이언트. (아래 참고 참조).
  • 권장 작업:
    • NetBackup: 8.2, 8.3.0.1, 8.3.0.2, 9.0.0.1, 9.1.0.1, 10.0.0.1 또는 10.1로 업그레이드하고 해당 핫픽스를 적용하십시오.
    • NetBackup Appliance: 3.2, 3.3.0.1, 3.3.0.2, 4.0.0.1, 4.1.0.1 또는 5.0.0.1 MR1으로 업그레이드하고 적합한 핫픽스를 적용하십시오.
    • Flex Appliance: Flex Appliance의 NetBackup 컨테이너 버전에 해당하는 NetBackup 핫픽스를 적용하십시오.
    • Flex Scale: 베리타스 기술 지원에 문의하고 기술 자료 ID 100053006을 참조하여 수정 사항을 적용하십시오.

참고

/usr/openv/java/auth.conf 파일은 NetBackup 관리 콘솔의 기능에 대한 접근 권한을 부여합니다. 이 파일은 기본적으로 관리 권한이 있는 루트로만 생성됩니다. 이 파일은 주 서버, 미디어 서버 및 클라이언트에 있습니다.

비루트 사용자를 추가하고 해당 사용자가 주 서버, 미디어 서버 또는 클라이언트를 관리할 수 있도록 하여 auth.conf가 수정되지 않는 한 해당 환경은 취약하지 않으며 수정이 필요하지 않습니다.

이 취약점은 Unix 기반 서버 및 클라이언트에만 영향을 줍니다. Windows 기반 서버 및 클라이언트는 영향을 받지 않습니다.

이 수정 사항은 Java 관리 UI 콘솔이 연결된 대상 시스템의 취약한 bpjava 바이너리를 업데이트합니다.

auth.conf에 대한 자세한 내용은 https://www.veritas.com/content/support/ko_KR/doc/21733320-149123528-0/v41641695-149123528 을 참조하십시오.

질문

이 권고에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR) 에 문의하시기 바랍니다.

감사의 말

베리타스는 이 문제에 대해 보고해 주신 Nordea 백업 팀에 감사드립니다.

면책 조항

이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다. Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다. 제품의 향후 계획에 대한 진술은 잠정적인 것이며 모든 향후 릴리스 날짜는 변경 가능한 임시적인 날짜입니다. 본 제품의 향후 릴리스 또는 제품 기능, 용도, 특징에 대한 예정된 수정 작업은 베리타스의 지속적인 평가에 따라 변경될 수 있으며 그에 따라 구현되거나 구현되지 않을 수 있습니다. 따라서, 베리타스에서 확정한 사항으로 간주될 수 없으며 의사 결정의 근거로 활용하면 안 됩니다.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054