VTS23-003
影响 NetBackup 服务器和客户端的安全公告
修订历史记录
- 1.0:2023 年 3 月 14 日 – 首次公开发布
- 1.1:2023 年 5 月 26 日 – 对受影响的产品版本的更新以及增加的缓解方案信息
摘要
Veritas 已经解决了影响 NetBackup 服务器和客户端的漏洞。
问题
任意文件写入
BPCD 允许未授权用户在执行 NetBackup 命令时创建或修改任意文件。攻击者可能会利用该漏洞提升权限并损坏系统。
- CVE ID: CVE-2023-28758
- 严重性:高
- CVSS v3.1 基础评分:7.7 (AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)
- 受影响的产品和版本:
- 8.2 及之前版本的 NetBackup 主服务器、介质服务器和客户端。
- 在主服务器和所有介质服务器均为版本 8.3 或更高版本的环境中,主要服务器和介质服务器不易受攻击(请参见下方的表 1)。
- 建议采取的措施:
- 首选:升级到版本 8.3 或更高版本。
表 1. 我易受攻击吗?
| 主服务器 | 介质服务器 | 客户端为版本 8.3 或更高 | 客户端版本低于 8.3 | |
|---|---|---|---|---|
| 环境中的所有 NetBackup 服务器和客户端均为版本 8.3 及更高版本 | 否 | 否 | 否 | 不适用 |
| 环境中的所有 NetBackup 服务器均为版本 8.3 及更高版本 | 否 | 否 | 否 | 是 |
| NetBackup 主服务器版本为 8.3/8.3.0.1 且一个或多个介质服务器版本低于 8.3 | 是 | 是 | 是 | 是 |
| 版本低于 8.3 | 是 | 是 | 是 | 是 |
缓解方案
适用于客户端或介质服务器无法升级到版本 8.3 或更高版本的环境的缓解方案(同时执行升级):
- 撤销所有 NetBackup 服务器的非管理员访问权限。非系统管理员或 NetBackup 管理员用户不应可以登录 NetBackup 主服务器和介质服务器(在操作系统一级),或在其上执行命令。
- 在 bp.conf/host 属性中查看 SERVER 和 MEDIA_SERVER 条目,并删除低于 NetBackup 8.3 的系统对应的条目。
注意事项
对于所有 NetBackup 环境而言,最佳做法是在 bp.conf/host 属性中查看每个主机对应的 SERVER 和 MEDIA_SERVER 条目,并删除不再存在或不与该主机通信的系统对应的条目。该做法符合最低权限原则,仅会向有需要的系统授予访问权限。
该问题之前已解决,但当时未生成安全公告。NetBackup 版本 8.3 及更高版本包含修复程序,因此如果您使用的是这些版本,则无需采取任何措施。
疑问
如有关于此漏洞的疑问或问题,请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)
免责声明
本安全公告按“原样”提供,对于所有明示或暗示的条款、陈述和保证,包括任何适销性、针对特定用途的适用性或未侵权的暗示保证,均不提供任何担保,除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改,恕不另行通知。此处对产品计划做出的预见性表示均为初步结果,所有未来的发布日期都是暂定的,随时可能发生更改。产品的任何未来版本或对产品的能力、功能或特性所做的任何计划内修改均要经过 VERITAS 的持续评估,无论实施与否,均不能视为 VERITAS 所做的确定承诺及制定决策的依据。
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054