Symantec Veritas NetBackup: JAVA Administration GUI に特権昇格の脆弱性 (2008年10月9日)

本セキュリティサイトについてのご注意

1.脆弱性の説明

Symantec Veritas NetBackup製品の JAVA Administration Graphical User Interface（GUI）に特権昇格を許容する脆弱性があります。

「3. 該当システム・対策情報」にセキュリティパッチを示していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

Veritas NetBackup の影響を受けるバージョンでは、非特権の正当なユーザーがJava Administration GUI （jnbSA）を使用することにより、通常はより高度な特権がなければ実行できないコマンドの実行が可能になることがあります。

3. 該当システム・対策情報

3-1.該当システム

[機種名] SPARC Enterprise Server, PRIMEPOWER, GRANPOWER, Sun Fire, S-7シリーズ, Sun Blade, PRIMERGY, PRIMEQUEST

[OS名] Solaris, Windows, RedHat Linux

3-2.該当製品・対策Patch

(注意) NetBackup5.0はEOL製品のため、修正パッチは提供されません。

注1) 日本語版適用時のみ該当
注2) Oracle オプション適用時のみ該当
注3) NDMP オプション適用時のみ該当
注4) EnterpriseServer Vault オプション適用時のみ該当
注5) EnterpriseServer Advanced Client オプション適用時のみ該当
注6) Encription オプション適用時のみ該当
注7) JAVA 管理コンソール導入サーバのみ該当
注8) RHEL4(x86, EM64T)以降のサーバのみ該当
注9) RHEL3(x86)以前のサーバのみ該当

参考: 該当製品の確認方法

以下のファイル内に、適用されているバージョン情報が格納されています。
本情報内に、3-2.で提示したPatch ID.が含まれていない場合、本件に該当します。

(注意)下記ファイルには、過去に適用したPatch ID.が累積して記載されています。
        本ファイルに、3-2.で提示したPatch ID.が含まれていれば問題ありません。

• SolarisまたはLinux環境の場合：
  <Install_path>/pack/pack.summary
• Windows環境の場合：
  <Install_path>\VERITAS\Patch\History.Log

3-3. 回避方法

本脆弱性は、パッチの適用ができない間、以下の方法で影響を緩和できる場合があります。

• SolarisまたはLinux環境の場合：
  以下のファイルを移動させることで、NetBackup の JAVA Administration GUI利用を抑止します。
  /usr/openv/netbackup/bin/bpjava* (bpjavaで始まる複数のファイル)
• Windows環境の場合：
  以下のファイルを移動させることで、NetBackup の JAVA Administration GUI利用を抑止します。
  <install_path>\VERITAS\Netbackup\bin\bpjava* (bpjavaで始まる複数のファイル)

4. 関連情報

• シマンテック社 SYM08-016: Symantec Veritas NetBackup の JAVA Administration GUI に特権昇格の脆弱性
  http://www.symantec.com/ja/jp/business/security_response/securityupdates/detail.jsp?fid=sns&pvid=sns&year=2010&suid=eNDC-SU110-20100120.01

5. 改版履歴

• 2008年10月9日 新規掲載