NetBackup 서버 및 클라이언트에 영향을 미치는 보안 권고

개정 내역

• 1.0: 2023년 3월 14일 – 최초 공개 릴리스
• 1.1: 2023년 5월 26일 – 영향을 받는 제품 버전으로 업데이트 및 완화책 정보 추가

요약

베리타스에서 NetBackup 서버 및 클라이언트에 영향을 미치는 취약점을 해결했습니다.

문제

임의 파일 쓰기

BPCD를 통해 권한 없는 사용자가 NetBackup 명령 실행 시 임의 파일을 생성 또는 수정할 수 있습니다. 이렇게 하면 권한을 에스컬레이션하고 시스템을 손상시킬 수 있습니다.

• CVE ID: CVE-2023-28758
• 심각도: 높음
• CVSS v3.1 기본 점수: 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
• 영향을 받는 제품 및 버전:
  • NetBackup 주 서버, 미디어 서버 및 클라이언트 – 8.2 이하 버전
  • 주 서버 및 모든 미디어 서버가 8.3 이상인 환경에서 주 서버 및 미디어 서버는 취약하지 않습니다(아래 표 1 참조).
• 권장 조치:
  • 기본: 8.3 이상 버전으로 업그레이드합니다.

표 1. 취약점 여부

완화책

8.3 이상 버전으로 업그레이드할 수 없는 클라이언트 또는 미디어 서버가 있는 환경에 대한 완화책(2가지 모두 수행):

• 모든 NetBackup 서버에서 비관리자 액세스를 제거합니다. 시스템 관리자 또는 NetBackup 관리자가 아닌 사용자는 로그인하거나(OS 수준) NetBackup 주 서버 및 미디어 서버에서 명령을 실행할 수 없어야 합니다.
• bp.conf/host 속성에서 서버 및 미디어 서버 항목을 검토하고 NetBackup 8.3 이상에 있지 않은 시스템에 대한 항목을 제거합니다.

참고

모든 NetBackup 환경에 대한 베스트 프랙티스는 각 호스트의 bp.conf/host 속성에서 서버 및 미디어 서버 항목을 검토하고 더 이상 존재하지 않거나 이 호스트와 통신하지 않는 시스템에 대한 항목을 제거하는 것입니다. 이는 액세스가 필요한 해당 시스템 한정으로 액세스를 제한하는 최소 권한의 원칙을 따릅니다.

이 문제는 이전에 해결되었지만 당시에는 보안 권고가 생성되지 않았습니다. NetBackup 8.3 이상 버전에는 수정이 포함되어 있으므로 이러한 버전을 사용하는 경우에는 아무 조치도 필요하지 않습니다.

질문

이 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR) 에 문의하시기 바랍니다.

면책 조항

이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다. Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다. 제품의 향후 계획에 대한 진술은 잠정적인 것이며 모든 향후 릴리스 날짜는 변경 가능한 임시적인 날짜입니다. 본 제품의 향후 릴리스 또는 제품 기능, 용도, 특징에 대한 예정된 수정 작업은 베리타스의 지속적인 평가에 따라 변경될 수 있으며 그에 따라 구현되거나 구현되지 않을 수 있습니다. 따라서, 베리타스에서 확정한 사항으로 간주될 수 없으며 의사 결정의 근거로 활용하면 안 됩니다.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054