Symantec Veritas NetBackup: Communications Setup に特権昇格の脆弱性 (2009年4月8日)


本セキュリティサイトについてのご注意

1.脆弱性の説明

Symantec Veritas NetBackup製品のCommunications Setup に特権昇格の脆弱性があります。

「3. 該当システム・対策情報」にセキュリティパッチを示していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

Veritas NetBackup の影響を受けるバージョンでは、非特権の正当なシステムユーザーが Veritas Network Daemon (vnetd) を使用することにより、そのシステム上で特権の昇格を取得することができます。

3. 該当システム・対策情報

3-1.該当システム

[機種名] SPARC Enterprise Server, PRIMEPOWER, GRANPOWER, Sun Fire, S-7シリーズ, Sun Blade, PRIMERGY, PRIMEQUEST

[OS名] Solaris, Windows, RedHat Linux

3-2.該当製品・対策Patch

VERITAS NetBackup
製品名対象OSパッケージ名Patch ID
VERITAS NetBackup 6.5Solaris 8, 9, 10SYMCnetbpNB_6.5.3.1
(http://seer.entsupport.symantec.com/docs/319524.htm)
NB_CLT_6.5.3.1
(http://seer.entsupport.symantec.com/docs/319529.htm)
NB_JAV_6.5.3.1
(http://seer.entsupport.symantec.com/docs/319530.htm)
VERITAS NetBackup 6.5Windows Server 2003/ Windows 2000 ServerファミリーNetBackupNB_6.5.3.1
(http://seer.entsupport.symantec.com/docs/319528.htm)
VERITAS NetBackup 6.5Windows Server 2003 for Itanium-based SystemsNetBackupNB_6.5.3.1
(http://seer.entsupport.symantec.com/docs/319526.htm)
VERITAS NetBackup 6.5Windows Sever 2008(64bit)/ Windows Server 2003(x64)NetBackupNB_6.5.3.1(注1)
(http://seer.entsupport.symantec.com/docs/319527.htm)
VERITAS NetBackup 6.5RHEL5(Intel64)/ RHEL-AS4(x86/EM64T)/ RHEL-ES4(x86/EM64T)/ RHEL-AS3(x86)/ RHEL-ES3(x86)/ RHEL-AS2.1(x86)/ RHEL-ES2.1(x86)NB_6.5.3.1(注2)
(http://seer.entsupport.symantec.com/docs/319520.htm)
NB_6.5.3.1(注3)
(http://seer.entsupport.symantec.com/docs/319518.htm)
NB_CLT_6.5.3.1
(http://seer.entsupport.symantec.com/docs/319529.htm)
NB_JAV_6.5.3.1
(http://seer.entsupport.symantec.com/docs/319530.htm)
VERITAS NetBackup 6.5RHEL-AS4(Itanium)NB_6.5.3.1
(http://seer.entsupport.symantec.com/docs/319519.htm)
NB_CLT_6.5.3.1
(http://seer.entsupport.symantec.com/docs/319529.htm)
NB_JAV_6.5.3.1
(http://seer.entsupport.symantec.com/docs/319530.htm)
VERITAS NetBackup 6.0Solaris 8, 9, 10VRTSnetbpNB_CLT_60_7S01_M
(http://seer.entsupport.symantec.com/docs/319471.htm)
VERITAS NetBackup 6.0Windows Server 2003/ Windows 2000 ServerファミリーNetBackupNB_60_7S01_M
(http://seer.entsupport.symantec.com/docs/319469.htm)
VERITAS NetBackup 6.0Windows Server 2003 for Itanium-based SystemsNetBackupNB_60_7S01_M
(http://seer.entsupport.symantec.com/docs/319468.htm)
VERITAS NetBackup 6.0Windows Server 2003ファミリー(x64)NetBackupNB_60_7S01_M
(http://seer.entsupport.symantec.com/docs/319470.htm)
VERITAS NetBackup 6.0RHEL-AS4(x86/EM64T)/ RHEL-ES4(x86/EM64T)/ RHEL-AS3(x86)/ RHEL-ES3(x86)/ RHEL-AS2.1(x86)/ RHEL-ES2.1(x86)NB_CLT_60_7S01_M
(http://seer.entsupport.symantec.com/docs/319471.htm)
VERITAS NetBackup 6.0RHEL-AS4(Itanium)NB_CLT_60_7S01_M
(http://seer.entsupport.symantec.com/docs/319471.htm)

(注意) NetBackup5.x はEOL製品のため、修正パッチは提供されません。製品のバージョンアップによる対処をお願いします。

注1) Windows Server 2008ではクライアントのみ該当
注2) RHEL4(x86, EM64T)以降のサーバのみ該当
注3) RHEL3(x86)以前のサーバのみ該当

参考: 該当製品の確認方法

本件は、適用パッチのレベルには関係ありません。
NetBackup5.x, 6.0, 6.5 の Server/ Enterprise Server製品を適用されている場合、本件に該当します。

3-3. 回避方法

本脆弱性は、パッチの適用ができない間、以下の方法で影響を緩和できる場合があります。

  • 管理体制または管理システムへのアクセスを、特権ユーザーに限定します。
  • 必要に応じて、リモートアクセスを信頼できるシステムや認証されたシステムのみに制限します。

4. 関連情報

  • シマンテック社 SYM09-002:Symantec NetBackup の Communications Setup に特権昇格の脆弱性
    http://www.symantec.com/ja/jp/business/security_response/securityupdates/detail.jsp?fid=sns&pvid=sns&year=2010&suid=eNDC-SU110-20100120.01

5. 改版履歴

  • 2009年4月8日 新規掲載

ページの先頭へ