影响 NetBackup 客户端的安全公告的相应热修补程序

修订历史记录

• 1.0：2022 年 7 月 18 日：初版

摘要

Veritas 解决了影响 NetBackup 客户端的两个漏洞。

问题

问题 1：任意命令执行

NetBackup 客户端允许从任何远程主机执行任意命令，该主机可以从同一域访问有效的主机 ID NetBackup 证书/私钥。

• CVE ID: CVE-2022-36956
• 严重性：严重
• CVSS v3.1 基础评分：9.0 (AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)
• 受影响的版本：9.0.x、9.1.x
• 建议采取的措施：
  • 将 NBU 客户端升级至 10.0 — 无需热修补程序，或
  • 将 NBU 客户端升级至 9.1.0.1 并应用 VTS22-008 — 影响 NetBackup 9.1.0.1 客户端的安全公告的相应热修补程序 (Etrack 4066508)，或
  • 或将 NBU 客户端升级至 9.0.0.1 并应用 VTS22-008 — 影响 NetBackup 9.0.0.1 客户端的安全公告的相应热修补程序 (Etrack 4067247)，或
  • 对于 NBU 客户端版本 8.3.x 及更早版本 — 不易受攻击 — 不适用
    

问题 2：权限升级

具有 NetBackup 客户端的未经身份验证本地权限的攻击者可能发送特定命令来升级他们的权限。

• CVE ID: CVE-2022-36955
• 严重性：高
• CVSS v3.1 基础评分：7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
• 受影响的版本：9.1.x、9.0.x、8.3.x、8.2 及更早版本
• 建议采取的措施：
  • 将 NBU 客户端升级至 10.0 — 无需热修补程序，或
  • 将 NBU 客户端升级至 9.1.0.1 并应用 VTS22-008 — 影响 NetBackup 9.1.0.1 客户端的安全公告的相应热修补程序 (Etrack 4066508)，或
  • 将 NBU 客户端升级至 9.0.0.1 并应用 VTS22-008 — 影响 NetBackup 9.0.0.1 客户端的安全公告的相应热修补程序 (Etrack 4067247)，或
  • 将 NBU 客户端升级至 8.3.0.2 并应用 VTS22-008 — 影响 NetBackup 8.3.0.2 客户端的安全公告的相应热修补程序 (Etrack 4066512)，或
  • 对于 NBU 客户端版本 8.2，应用 VTS22-008 — 影响 NetBackup 8.2 客户端的安全公告的相应热修补程序 (Etrack 4068828)
  • 对于 NBU 客户端版本 8.1.2，应用 VTS22-008 — 影响 NetBackup 8.1.2 客户端的安全公告的相应热修补程序 (Etrack 4071637)

注意事项

这些漏洞的相关主服务器和介质服务器修复已在 VTS22-004 的安全公告部分得到解决。

鸣谢

Veritas 非常感谢以下 Airbus 安全团队成员告知我们关于问题 2 的事宜：Mouad Abouhali、Benoit Camredon、Nicholas Devillers、Anais Gantet 和 Jean-Romain Garnier。

疑问

如有关于此漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support)

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。

Veritas Technologies LLC 2625

Augustine Drive

Santa Clara, CA 95054