Veritas NetBackup: リモートアクセスの脆弱性 (2016年7月21日)
1.脆弱性の説明
NetBackup のマスタサーバ、メディアサーバ、クライアントで、悪意のある攻撃者が、システム上で任意のコマンド、および操作を実行する可能性があります。
「3. 該当システム・対策情報」にセキュリティパッチを示していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
- NetBackup が利用しているプロトコルを使い、NetBackupサーバ、メディアサーバ、クライアントにアクセスし、bpcd サービスから任意のコマンドを実行し、マスターサーバ、メディアサーバ、クライアント間の通信処理を異常終了させます。
- NetBackup 管理コンソールとNetBackup サーバ間のネットワークトラフィックを捕捉し、ログオン資格情報を取得して、NetBackup サーバへの特権アクセスを可能にします。
- 不正アクセスにより、任意の RPC を実行し、NetBackup 管理機能を損なわせる可能性があります。
3. 該当システム・対策情報
3-1.該当システム
SPARC Servers、SPARC Enterprise Mシリーズ、SPARC Enterprise Tシリーズ、PRIMEPOWER、富士通 Sシリーズ、PRIMEQUEST 2000シリーズ、PRIMEQUEST 1000シリーズ、PRIMERGY、FMV
3-2.該当製品・対策Patch
・Symantec NetBackup・Veritas NetBackup
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Symantec NetBackup | 7.0 | Oracle Solaris 10 | - | 発行予定なし |
Symantec NetBackup | 7.1 | Oracle Solaris 10 | - | 発行予定なし |
Symantec NetBackup | 7.5.0.7 | Oracle Solaris 10/ 11 | - | ET3865362_1/ET3865365_1/ET3865364_1 |
Symantec NetBackup | 7.6.0.3 | Oracle Solaris 10/ 11 | - | 発行予定なし |
Symantec NetBackup | 7.6.1.1 | Oracle Solaris 10/ 11 | - | 発行予定なし |
Symantec NetBackup | 7.0 | RedHat Enterprise Linux 4/ 5 | - | 発行予定なし |
Symantec NetBackup | 7.1 | RedHat Enterprise Linux 4/ 5/ 6 | - | 発行予定なし |
Symantec NetBackup | 7.5.0.7 | RedHat Enterprise Linux 5/ 6/ 7 | - | ET3865362_1/ET3865365_1/ET3865364_1 |
Symantec NetBackup | 7.6.0.3 | RedHat Enterprise Linux 5/ 6/ 7 | - | 発行予定なし |
Symantec NetBackup | 7.6.1.1 | RedHat Enterprise Linux 5/ 6/ 7 | - | 発行予定なし |
Symantec NetBackup | 7.0 | Windows XP/ Windows Vista/ Windows 7/ Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2 | - | 発行予定なし |
Symantec NetBackup | 7.1 | Windows XP/ Windows Vista/ Windows 7/ Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2 | - | 発行予定なし |
Symantec NetBackup | 7.5.0.7 | Windows XP/ Windows Vista/ Windows 7/ Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2 | - | ET3865362_1/ET3865365_1/ET3865364_1 |
Symantec NetBackup | 7.6.0.3 | Windows 7/ Windows 8/ Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Server 2012 R2 | - | 発行予定なし |
Symantec NetBackup | 7.6.1.1 | Windows 7/ Windows 8/ Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Server 2012 R2 | - | 発行予定なし |
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Veritas NetBackup | 7.7.0 | Oracle Solaris 10/ 11 | - | ET3864869_1/ET3864872_1/ET3864871_1 |
Veritas NetBackup | 7.7.2 | Oracle Solaris 10/ 11 | - | ET3871154_1/ET3871155_1 |
Veritas NetBackup | 7.7.0 | RedHat Enterprise Linux 5/ 6/ 7 | - | ET3864869_1/ET3864872_1/ET3864871_1 |
Veritas NetBackup | 7.7.2 | RedHat Enterprise Linux 5/ 6/ 7 | - | ET3871154_1/ET3871155_1 |
Veritas NetBackup | 7.7.0 | Windows 7/ Windows 8/ Windows 10/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Server 2012 R2 | - | ET3864869_1/ET3864872_1/ET3864871_1 |
Veritas NetBackup | 7.7.2 | Windows 7/ Windows 8/ Windows 10/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Server 2012 R2 | - | ET3871154_1/ET3871155_1 |
参考: 該当製品の確認方法
それぞれのOSにおいて、以下テキストファイル内の"VERSION"の部分を確認します。
- Oracle Solaris、RedHat Enterprise Linux
<install_dir>/openv/netbackup/version - Windows
<install_dir>\Veritas\NetBackup\version.txt
3-3. 回避方法
本脆弱性を回避する為に、バックアップサーバー、クライアントをNetBackup 7.7.2以降のバージョンでご利用ください。
4. 関連情報
- veritas社 NetBackup Remote Access Vulnerabilities
https://www.veritas.com/content/support/en_US/security/VTS16-001.html
5. 改版履歴
- 2016年7月21日 新規掲載