VTS23-003

Comunicado de Segurança que afeta Servidores e Clientes NetBackup

Histórico de revisões

1.0: 14 de março de 2023 – Versão pública inicial
1.1: 26 de maio de 2023 – Atualização nas versões de produtos afetados e adição de informações sobre mitigações

Resumo

A Veritas corrigiu uma vulnerabilidade que afetava os servidores e clientes NetBackup.

Problema

Gravação arbitrária de arquivo

O BPCD permite que um usuário sem privilégios crie ou modifique um arquivo arbitrário ao executar um comando do NetBackup. Isso pode ser usado para aumentar os privilégios e comprometer o sistema.

ID do CVE: CVE-2023-28758
Gravidade: Alta
Pontuação básica do CVSS v3.1: 7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
Versão e produtos afetados:
- Servidor primário NetBackup, servidor de mídia e clientes – Versões 8.2 e anteriores.
- Em ambientes em que os servidor primário e todos os servidores de mídia estão na versão 8.3 ou mais recente, os servidores primários e de mídia NÃO estão vulneráveis (consulte a Tabela 1 abaixo).
Ação recomendada:
- Ação preferencial: fazer upgrade para a versão 8.3 ou mais recente.

Tabela 1. Estou vulnerável?

	Primário	Mídia	Cliente >= 8.3	Cliente < 8.3
Todos os servidores NetBackup em um ambiente com versão 8.3 e mais recente	Não	Não	Não	N/A
All NetBackup servers in environment at 8.3 and above	Não	Não	Não	Sim
Servidor primário NetBackup com versão 8.3/8.3.0.1 e um ou mais servidores de mídia com versão anterior à 8.3	Sim	Sim	Sim	Sim
Versões anteriores à 8.3	Sim	Sim	Sim	Sim

Atenuação

Atenuação para ambientes com clientes ou servidores de mídia que não podem fazer o upgrade para a versão 8.3 ou mais recente (remove os dois itens):

Remova qualquer acesso que não seja do administrador em todos os servidores NetBackup. Usuários que não são administradores do sistema nem administradores do NetBackup não têm permissão de fazer login (em nível de SO) nem de executar comandos no servidor de mídia e no servidor primário NetBackup.
Analise as entradas SERVER e MEDIA_SERVER nas propriedades de bp.conf/host e remova as entradas do sistema que não estão no NetBackup versão 8.3 ou mais recente.

Observações

Uma prática recomendada para todos os ambientes NetBackup é analisar as entradas SERVER e MEDIA_SERVER nas propriedades bp.conf/host de cada host e remover aquelas de sistemas que não existem mais ou que não se comunicam com esse host. Essa ação segue o princípio de menos privilégios para limitar o acesso àqueles sistemas que precisam de acesso.

Esse problema foi resolvido anteriormente, mas um comunicado de segurança não foi gerado naquele momento. Nas versões 8.3 e mais recentes, o NetBackup contém a correção, e nenhuma ação é necessária se você estiver usando qualquer uma dessas versões.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essa vulnerabilidade, entre em contato com o Suporte Técnico da Veritas ((https://www.veritas.com/support/pt_BR)

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A MUDANÇAS SEM AVISO PRÉVIO. QUALQUER INDICAÇÃO FUTURA DE PLANOS PARA PRODUTOS É PRELIMINAR E TODAS AS DATAS DE LANÇAMENTOS FUTUROS SÃO PROVISÓRIAS E ESTÃO SUJEITAS A MUDANÇAS. QUALQUER VERSÃO FUTURA DO PRODUTO OU MODIFICAÇÕES PLANEJADAS DE CAPACIDADE, FUNCIONALIDADE OU RECURSOS DO PRODUTO ESTÃO SUJEITAS À AVALIAÇÃO CONTÍNUA DA VERITAS E PODEM NÃO SER IMPLEMENTADAS, LOGO, NÃO DEVEM SER ENTENDIDAS COMPROMISSOS FIRMES DA VERITAS E NEM CONSIDERADAS NA TOMADA DE DECISÕES.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054