VTS22-019

NetBackup Flex Scale 및 Access Appliance에 영향을 미치는 보안 권고를 위한 핫픽스

리비전 내역

  • 1.0: 2022년 11월 30일 – 최초 공개 릴리스
  • 1.1: 2022년 12월 08일 – CVE ID 추가

요약

베리타스는 NetBackup Flex Scale 및 Access Appliance에 영향을 미치는 취약점을 해결했습니다.

문제

문제 #1 - 인증되지 않은 원격 명령 실행

Access Appliance 및 NetBackup Flex Scale은 인증되지 않은 원격 명령 실행 취약점에 취약합니다.

  • CVE ID: CVE-2022-46414
  • 심각도: 심각
  • CVSS v3.1 기본 점수: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
  • 영향을 받는 제품 및 버전:
    • NetBackup Flex Scale 3.0 및 이전 버전
    • Access Appliance 8.0.100 및 이전 버전
  • 권장 작업:
    • NetBackup Flex Scale: 3.0 버전으로 업그레이드하고 핫픽스를 적용합니다.
    • Access Appliance: 7.4.3.300 또는 8.0.100으로 업그레이드하고 해당 핫픽스를 적용합니다.

문제 #2 – 인증된 원격 명령 실행

Access Appliance 및 NetBackup Flex Scale은 인증된 원격 명령 실행 취약점에 취약합니다.

  • CVE ID: CVE-2022-46413
  • 심각도: 높음
  • CVSS v3.1 기본 점수: 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 영향을 받는 제품 및 버전:
    • NetBackup Flex Scale 3.0 및 이전 버전
    • Access Appliance 8.0.100 및 이전 버전
  • 권장 작업:
    • NetBackup Flex Scale: 3.0 버전으로 업그레이드하고 핫픽스를 적용합니다.
    • Access Appliance: 7.4.3.300 또는 8.0.100 버전으로 업그레이드하고 해당 핫픽스를 적용합니다.

문제 #3 – 기본 인증 정보가 기본 사용자에 대해 유지됨

기본 암호는 설치 후 유지되며 검색하여 권한을 에스컬레이션하는 데 사용할 수 있습니다.

  • CVE ID: CVE-2022-46411
  • 심각도: 높음
  • CVSS v3.1 기본 점수: 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 영향을 받는 제품 및 버전:
    • NetBackup Flex Scale 3.0 및 이전 버전
    • Access Appliance 8.0.100 및 이전 버전
  • 권장 작업:
    • NetBackup Flex Scale: 3.0 버전으로 업그레이드하고 핫픽스를 적용합니다.
    • Access Appliance: 7.4.3.300 또는 8.0.100으로 업그레이드하고 해당 핫픽스를 적용합니다.

문제 #4 – 제한된 셸에서 일반 셸로의 이스케이프 허용

권한이 없는 사용자가 제한된 셸을 이스케이프하고 권한 있는 명령을 실행할 수 있습니다.

  • CVE ID: CVE-2022-46412
  • 심각도: 높음
  • CVSS v3.1 기본 점수: 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 영향을 받는 제품 및 버전:
    • NetBackup Flex Scale 3.0 및 이전 버전
  • 권장 작업:
    • NetBackup Flex Scale: 3.0 버전으로 업그레이드하고 핫픽스를 적용합니다.

문제 #5 – 셸 권한 에스컬레이션

비루트 권한이 있는 공격자가 특정 명령을 사용하여 권한을 루트로 에스컬레이션할 수 있습니다.

  • CVE ID: CVE-2022-46410
  • 심각도: 높음
  • CVSS v3.1 기본 점수: 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 영향을 받는 제품 및 버전:
    • NetBackup Flex Scale 3.0 및 이전 버전
  • 권장 작업:
    • NetBackup Flex Scale: 3.0 버전으로 업그레이드하고 핫픽스를 적용합니다.

참고

NetBackup Flex Scale 또는 Access Appliance에 적합한 핫픽스를 다운로드하려면 베리타스 지원 다운로드 페이지를 참조하십시오.

질문

이 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR)에 문의하시기 바랍니다.

면책 조항

이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다. Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다. 제품의 향후 계획에 대한 진술은 잠정적인 것이며 모든 향후 릴리스 날짜는 변경 가능한 임시적인 날짜입니다. 본 제품의 향후 릴리스 또는 제품 기능, 용도, 특징에 대한 예정된 수정 작업은 베리타스의 지속적인 평가에 따라 변경될 수 있으며 그에 따라 구현되거나 구현되지 않을 수 있습니다. 따라서, 베리타스에서 확정한 사항으로 간주될 수 없으며 의사 결정의 근거로 활용하면 안 됩니다.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054