Veritas NetBackup: 特権付きコマンドが実行される脆弱性(CVE-2017-6407、CVE-2017-6399) (2017年5月19日)
1.脆弱性の説明
NetBackupには任意の特権付きコマンドが実行される脆弱性があります。
2. 脆弱性のもたらす脅威
- 悪意のある攻撃者が、非特権ユーザでNetBackupマスターサーバ上の特権付きコマンドを実行する可能性があります。
コマンドはroot/Administrator権限で実行されます。 - 悪意のある攻撃者が、非特権ユーザでNetBackupマスターサーバに接続しているNetBackupメディアサーバ、クライアント上の特権付きコマンドをリモートから実行する可能性があります。
コマンドはroot/Administrator権限で実行されます。
3. 該当システム・対策情報
3-1.該当システム
PRIMEPOWER, 富士通 Sシリーズ, SPARC Servers,SPARC Enterprise, PRIMEQUEST, PRIMERGY
3-2.該当製品・対策Patch
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Symantec NetBackup | 7.0/ 7.1 | Solaris 9/ 10 | - | 発行予定なし |
Symantec NetBackup | 7.5.0.7 | Solaris 9/ 10/ 11 | - | 発行予定なし |
Symantec NetBackup | 7.6.0.3/ 7.6.1.1 | Solaris 10/ 11 | - | 発行予定なし |
Veritas NetBackup | 7.7.0 | Solaris 10/ 11 | - | 発行予定なし |
Symantec NetBackup | 7.0/ 7.1 | RHEL-AS4(EM64T)/ ES4(EM64T)/ 5(Intel64)/ 6(Intel64) | - | 発行予定なし |
Symantec NetBackup | 7.5.0.7 | RHEL 5(Intel64)/ 6(Intel64) | - | 発行予定なし |
Symantec NetBackup | 7.6.0.3/ 7.6.1.1 | RHEL 5(Intel64)/ 6(Intel64)/ 7(Intel64) | - | 発行予定なし |
Veritas NetBackup | 7.7.0 | RHEL 5(Intel64)/ 6(Intel64)/ 7(Intel64) | - | 発行予定なし |
Symantec NetBackup | 7.0/ 7.1 | Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2 | - | 発行予定なし |
Symantec NetBackup | 7.5.0.7 | Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012 | - | 発行予定なし |
Symantec NetBackup | 7.6.0.3/ 7.6.1.1 | Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Server 2012 R2 | - | 発行予定なし |
Veritas NetBackup | 7.7.0 | Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Server 2012 R2 | - | 発行予定なし |
参考: 該当製品の確認方法
それぞれのOSにおいて、以下テキストファイル内の"VERSION"の部分を確認します。
- Oracle Solaris、RedHat Enterprise Linux
<install_dir>/openv/netbackup/version - Windows
<install_dir>¥Veritas¥NetBackup¥version.txt
3-3. 回避方法
本脆弱性を回避する為に、バックアップサーバー、クライアントをNetBackup 7.7.2以降のバージョンでご利用ください。
4. 関連情報
- veritas社 Multiple Vulnerabilities in Veritas NetBackup, NetBackup Appliance and Access
https://www.veritas.com/content/support/en_US/security/VTS17-003.html
5. 改版履歴
- 2017年5月19日 新規掲載