Histórico de Revisões
- 1.0: 23 de dezembro de 2020: Versão inicial
- 1.1: 8 de janeiro de 2021: adicionada ID da CVE, atualizadas as seções Correção e Atenuação
Resumo
Como parte de nosso processo contínuo de testes, a Veritas descobriu um problema em que o Veritas NetBackup and OpsCenter podia permitir que um invasor executasse códigos arbitrários com privilégio de administrador.
Problema 1
ID do CVE: CVE-2020-36169
Gravidade: Importante
Pontuação básica CVSS v3.1: 9.3 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
Processos do NetBackup que usam a biblioteca OpenSSL tentam carregar e executar bibliotecas a partir de caminhos que não existem por padrão nos sistemas operacionais Windows. Por padrão, em sistemas Windows, os usuários podem criar diretórios em qualquer unidade. For exemplo, C:\. Se um usuário com poucos privilégios no sistema Windows cria um caminho afetado com uma biblioteca que o NetBackup tenta carregar, ele pode executar códigos arbitrários como SYSTEM ou Administrador. Isso concede ao administrador invasor acesso ao sistema, permitindo que ele (por padrão) acesse todos os dados, acesse todos os aplicativos instalados etc.
Essa vulnerabilidade afeta servidores mestre do NetBackup, servidores de mídia, clientes e servidores OpsCenter na plataforma Windows.
O sistema fica vulnerável durante uma isntalação ou atualização e após a instalação, duranate as operações noormais do NetBackup.
Problema 2
ID do CVE: CVE-2020-36163
Gravidade: Importante
Pontuação básica CVSS v3.1: 9.3 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
Processos do NetBackup que usam a biblioteca Strawberry Perl tentam carregar e executar bibliotecas a partir de caminhos que não existem por padrão nos sistemas operacionais Windows. Por padrão, em sistemas Windows, os usuários podem criar diretórios em C:\. Se um usuário com poucos privilégios no sistema Windows cria um caminho afetado com uma biblioteca que o NetBackup tenta carregar, ele pode executar códigos arbitrários como SYSTEM ou Administrador. Isso concede ao administrador invasor acesso ao sistema, permitindo que ele (por padrão) acesse todos os dados, acesse todos os aplicativos instalados etc.
Essa vulnerabilidade afeta servidores mestre do NetBackup, servidores de mídia, clientes e servidores OpsCenter na plataforma Windows.
O sistema fica vulnerável durante uma instalação ou atualização em todos os sistemas e após a instalação, em servidores Master, Media e OpsCenter durante as operações normais do NetBackup.
Versões afetadas
NetBackup and OpsCenter versões 8.3.0.1 e versões anteriores são afetadas.
O problema afeta apenas a plataforma Windows.
CloudPoint: se você estiver usando o CloudPoint, consulte as instruções detalhadas fornecidas no Veritas CloudPoint Advisory.
Correção
Clientes com um contrato de manutenção atual podem fazer o download da hot fix do NetBackup HotFix e instalá-la para corrigir as vulnerabilidade para um servidor mestre já instalado do NetBackup, para o servidor de mídia e cliente. Instale a hot fix do OpsCenter para corrigir as vulnerabilidade para um OpsCenter já instalado.
Para instalar ou atualizar para uma versão afetada do NetBackup ou do OpsCenter, siga as etapas listadas na seção de atenuação antes de iniciar o processo de instalação ou atualização. Observação: isso precisa ser feito mesmo que você esteja atualizando de uma versão que já tenha a hot fix instalada. Quando o processo de instalação ou atualização estiver concluído, instale a hot fix para a versão instalada do NetBackup/OpsCenter.
Ações recomendadas:
| Versão do NetBackup | Cliente | Mídia | Mestre | opscenter |
|---|---|---|---|---|
|
9.0 e mais recente |
N/A |
N/A |
N/A |
N/A |
|
8.3.0.1 |
Hot fix |
Hot fix |
Hot fix |
Hot fix |
|
8.3 |
Hot fix |
Hot fix |
Hot fix |
Hot fix |
|
8.2 |
Hot fix |
Hot fix |
Hot fix |
Hot fix |
|
8.1.2 |
Hot fix |
Hot fix |
Hot fix |
Hot fix |
|
8.1.1 |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
|
8.1 |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
|
8.0 |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
|
7.7.3 |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
| Versão do NetBackup | Cliente | Mídia | Mestre | OpsCenter |
|---|---|---|---|---|
|
9.0 e mais recente |
N/A |
N/A |
N/A |
N/A |
|
8.3.0.1 |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
|
8.3 |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
|
8.2 |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
|
8.1.2 |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
|
8.1.1 |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
|
8.1 |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
| Versão do NetBackup | Cliente | Mídia | Mestre | OpsCenter |
|---|---|---|---|---|
|
9.0 e mais recente |
N/A |
N/A |
N/A |
N/A |
|
8.3.0.1 |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
|
8.3 |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
|
8.2 |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
|
8.1.2 |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
Solução alternativa e hot fix |
|
8.1.1 |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
|
8.1 |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
Apenas solução alternativa |
Atenuação
OBSERVAÇÃO: a Veritas recomenda veementemente a execução da versão 9.0 ou mais recente com uma hot fix.
-
Solução alternativa
- Essa solução alternativa reduzirá o risco até que a hot fix seja aplicada, se disponível, ou até que o sistema seja atualizado para a versão 9.0 ou mais recente.
- Protegendo diretórios
- Usando uma conta de administrador, crie os diretórios listados abaixo e defina a ACL no diretório para negar acesso de gravação a todos os outros usuários.
- Se os diretórios já exitem e se as ACLs permitem acesso de gravação a outros usuários, atualize as ACLs para permitir apenas acesso de gravação pelas contas do administrador
- Esses diretórios não devem ser excluídos.
- \usr\local\ssl
- Unidade de instação do SO, por exemplo, C:\usr\local\ssl
- Unidade de instação do SO, por exemplo, D:\usr\local\ssl
- C:\strawberry (8.1.2 e versões mais recentes)
- C:\strawberry (8.1.1 e versões mais recentes)
- Para qualquer comando do NetBackup, acrescente “cd” ao diretório que contém o comando NetBackup antes de executá-lo.
-
Instalação já existente
- Se a hot fix está disponível
- Aplique a hot fix ou a versão instalada
- Se a hot fix não está disponível
- Execute as etapas da solução alternativa listadas acima
-
Nova instalação
- Se estiver instalando a versão 9.0 ou mais recente
- Execute a nova instalação
- Não é necessária nenhuma ação no futuro
- Se estiver instalado uma versão anterior à 9.0
- Execute as etapas da solução alternativa listadas acima
- Execute a nova instalação
- Se a hot fix está disponível
- Aplique a hot fix para a versão instalada
-
Atualize a instalação para
- o se estiver atualizando para versão 9.0 ou mais recente
- Execute a atualização
- Os diretórios definidos na solução alternativa podem ser excluídos.
- Se estiver atualizando para uma versão anterior à 9.0
- Execute as etapas da solução alternativa listadas acima
- Isso deve ser feito mesmo que você esteja atualizando de uma versão que já tenha a hot fix instalada
- Execute a atualização
- Se a hot fix está disponível
- Aplique a hot fix para a nova versão
Exemplo de como excluir a permissão de gravação de um usuário não administrativo:
Informações sobre o download
Observação: esses downloads tratam as duas vulnerabilidades listadas na parte superior deste documento.
- Hot fix
- Hot fixes de atualização do OpenSSL para NetBackup 8.1.2
- NetBackup 8.1.2 - Atualização do OpenSSL em Windows Master ou Media Server (ET 4020525)
- https://www.veritas.com/support/pt_BR/downloads/update.UPD637939
- Hot fix do NetBackup 8.1.2 - Atualização do OpenSSL em Windows Clients (ET 4021310),
- https://www.veritas.com/support/pt_BR/downloads/update.UPD748218
- Hot fix do NetBackup OpsCenter 8.1.2 - Atualização do OpenSSL em Windows OpsCenter Clients (ET 4021310)
- https://www.veritas.com/support/pt_BR/downloads/update.UPD471540
- Hot fixes de atualização do OpenSSL para NetBackup 8.2
- NetBackup 8.2 - Atualização do OpenSSL em Windows Master ou Media Server (ET 4020077)
- https://www.veritas.com/support/pt_BR/downloads/update.UPD255190
- Hot fix do NetBackup 8.2 - Atualização do OpenSSL em Windows Clients (ET 4021217)
- https://www.veritas.com/support/pt_BR/downloads/update.UPD450754
- Hot fix do NetBackup 8.2 - Atualização do OpenSSL em Windows OpsCenterClients (ET 4021310)
- https://www.veritas.com/support/pt_BR/downloads/update.UPD518556
- Hot fixes de atualização do OpenSSL para NetBackup 8.3
- NetBackup 8.3 - Atualização do OpenSSL em Windows Master ou Media Server (ET 4021901)
- https://www.veritas.com/support/pt_BR/downloads/update.UPD475064
- Hot fix do NetBackup 8.3 - Atualização do OpenSSL em Windows Clients (ET 4022116),
- https://www.veritas.com/support/pt_BR/downloads/update.UPD870749
- Hot fix do NetBackup OpsCenter 8.3 - Atualização do OpenSSL em Windows OpsCenterClients (ET 4022185)
- https://www.veritas.com/support/pt_BR/downloads/update.UPD606869
- Hot fixes de atualização do OpenSSL para NetBackup 8.3.0.1
- NetBackup 8.3.0.1 - Atualização do OpenSSL em Windows Master ou Media Server (ET 4019812)
- https://www.veritas.com/support/pt_BR/downloads/update.UPD793441
- Hot fix do NetBackup 8.3.0.1 - Atualização do OpenSSL em Windows Clients (ET 4021146),
- https://www.veritas.com/support/pt_BR/downloads/update.UPD882155
- Hot fix do NetBackup OpsCenter 8.3.0.1 - Atualização do OpenSSL em Windows OpsCenterClients (ET 4021447)
- https://www.veritas.com/support/pt_BR/downloads/update.UPD480348
Dúvidas
Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).