Revisões

1.0: 18 de março de 2019: versão inicial
1.1: 19 de março de 2019: adicionados IDs do CVE

Resumo

Vários vulnerabilidades no Appliance NetBackup da Veritas.

Problemas

Problema 1

Senha do SMTP exibida para o administrador.

ID do CVE: CVE-2019-9868
Gravidade: Média
Pontuação básica do CVSS v3: 6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)

Ao usar o Console da Web do Appliance NetBackup, se uma senha do SMTP tiver sido configurada anteriormente para uso, um administrador poderá recuperá-la da conta, se uma tiver sido especificada, mesmo se o SMTP não esteja ativo no momento. Isso expõe as credenciais completas da conta ao administrador, permitindo que ele acesse o servidor SMTP para outras finalidades, por exemplo, para alterar a senha, impedindo, assim, que o appliance envie e-mail.

Produtos afetados

• Appliance NetBackup versões 3.1.2, 3.1.1, 3.1, 3.0, 2.7.3 e, possivelmente, versões anteriores não compatíveis sem o EEB de março de 2019 instalado
  

Problema 2

Senha do servidor proxy exibida para o administrador.

ID do CVE: CVE-2019-9867
Gravidade: Média
Pontuação básica do CVSS v3: 6.6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)

Ao usar o Console da Web do Appliance etBackup, se uma senha do servidor proxy tiver sido configurada anteriormente para uso, um administrador poderá recuperá-la da conta, mesmo se o Call Home ou o servidor proxy não estejam ativos no momento. Isso expõe as credenciais completas da conta ao administrador, permitindo que ele acesse o servidor proxy para outras finalidades, por exemplo, para alterar a senha, impedindo, assim, que o appliance use o servidor proxy.

Observação: para o Appliance NetBackup 3.1.1 e 3.1.2, "<saved>" é exibido em vez da senha real, porém, a senha pode ser encontrada no HTML da página.

Produtos afetados

• Appliance NetBackup versões 3.1.2, 3.1.1, 3.1, 3.0, 2.7.3 e, possivelmente, versões anteriores não compatíveis sem o EEB de março de 2019 instalado

Referências

• Nota técnica com link para EEBs

Dúvidas

Se você tiver alguma dúvida sobre qualquer informação incluída neste comunicado de segurança, entre em contato com o suporte técnico da Veritas.

Práticas recomendadas

Como parte das práticas recomendadas normais, a Veritas recomenda que os clientes:

• restrinjam o acesso a sistemas de administração e de gerenciamento para usuários privilegiados;
• restrinjam o acesso remoto, se necessário, apenas a sistemas confiáveis/autorizados;
• mantenham todos os sistemas operacionais e aplicativos atualizados com os patches mais recentes do fornecedor;
• sigam uma abordagem de várias camadas em relação à segurança; executem aplicativos de firewall e antimalware, no mínimo, para oferecer vários pontos de detecção e proteção contra ameaças de entrada e saída;
• implementem sistemas de detecção de intrusões no host e na rede para monitorar o tráfego de rede para sinais de atividade anormal ou suspeita. Isso pode ajudar na detecção de ataques ou atividades mal-intencionados relacionados à exploração de vulnerabilidades latentes.

Isenção de responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A Veritas Technologies LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENTES RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043

http://www.VERITAS.com/

© 2019 Veritas Technologies LLC. Todos os direitos reservados. Veritas, o logotipo da Veritas e NetBackup são marcas comerciais ou registradas da Veritas Technologies LLC ou de suas afiliadas nos Estados Unidos e em outros países. Outros nomes podem ser marcas comerciais dos respectivos proprietários