Veritas NetBackup: 特権付きコマンドが実行される脆弱性(CVE-2017-6406) (2017年5月19日)


本セキュリティサイトについてのご注意

1.脆弱性の説明

NetBackupには任意の特権付きコマンドが実行される脆弱性があります。

2. 脆弱性のもたらす脅威

悪意のある攻撃者が、"../"を含むホワイトリストを使用したディレクトリのエスケープ処理を介して、任意の特権付きコマンドを実行する可能性があります。

3. 該当システム・対策情報

3-1.該当システム

PRIMEPOWER, 富士通 Sシリーズ, SPARC Servers,SPARC Enterprise, PRIMEQUEST, PRIMERGY

3-2.該当製品・対策Patch

製品名バージョン対象OSパッケージ名Patch ID
Symantec NetBackup7.0/ 7.1Solaris 9/ 10-発行予定なし
Symantec NetBackup7.5.0.7Solaris 9/ 10/ 11-発行予定なし
Symantec NetBackup7.6.0.3/ 7.6.1.1Solaris 10/ 11-発行予定なし
Veritas NetBackup7.7.0Solaris 10/ 11-発行予定なし
Symantec NetBackup7.0/ 7.1RHEL-AS4(EM64T)/ ES4(EM64T)/ 5(Intel64)/ 6(Intel64)-発行予定なし
Symantec NetBackup7.5.0.7RHEL 5(Intel64)/ 6(Intel64)-発行予定なし
Symantec NetBackup7.6.0.3/ 7.6.1.1RHEL 5(Intel64)/ 6(Intel64)/ 7(Intel64)-発行予定なし
Veritas NetBackup7.7.0RHEL 5(Intel64)/ 6(Intel64)/ 7(Intel64)-発行予定なし
Symantec NetBackup7.0/ 7.1Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2-発行予定なし
Symantec NetBackup7.5.0.7Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012-発行予定なし
Symantec NetBackup7.6.0.3/ 7.6.1.1Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Server 2012 R2-発行予定なし
Veritas NetBackup7.7.0Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Server 2012 R2-発行予定なし

参考: 該当製品の確認方法

それぞれのOSにおいて、以下テキストファイル内の"VERSION"の部分を確認します。

  • Oracle Solaris、RedHat Enterprise Linux
    <install_dir>/openv/netbackup/version
  • Windows
    <install_dir>¥Veritas¥NetBackup¥version.txt

3-3. 回避方法

本脆弱性を回避する為に、バックアップサーバー、クライアントをNetBackup 7.7.2以降のバージョンでご利用ください。

4. 関連情報

5. 改版履歴

  • 2017年5月19日 新規掲載

ページの先頭へ