Veritas NetBackup: アクセス制御に関する脆弱性(CVE-2017-8856、CVE-2017-8857、CVE-2017-8858) (2017年9月1日)
1.脆弱性の説明
NetBackupのbprdプロセスが起動している場合、セキュリティに脆弱性があります。
2. 脆弱性のもたらす脅威
- CVE-2017-8856
悪意のある攻撃者が、NetBackupのbprdが実行されている場合、NetBackupマスタサーバ上で任意のコマンドを実行する可能性があります。
コマンドはroot/Administrator権限で実行されます。 - CVE-2017-8857
悪意のある攻撃者が、NetBackupのbprdが実行されている場合、任意のファイルを他のNetBackupがインストールされているホスト上のファイルにコピーする可能性があります。
ファイルはroot/Administrator権限で実行されます。 - CVE-2017-8858
悪意のある攻撃者が、NetBackupのbprdが実行されている場合、NetBackupがインストールされているホスト上の任意のファイルに書き込みを行う可能性があります。
脆弱性"CVE-2017-8857"と組み合わせると、攻撃者は新しい実行可能なファイルを他のホストに作成し、それを実行できます。
3. 該当システム・対策情報
3-1.該当システム
PRIMEPOWER, 富士通 Sシリーズ, SPARC Servers,SPARC Enterprise, PRIMEQUEST, PRIMERGY
3-2.該当製品・対策Patch
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Symantec NetBackup | 7.0/ 7.1 | Solaris 10 | - | 発行予定なし |
| Symantec NetBackup | 7.5.0.7/ 7.6.0.3/ 7.6.1.1 | Solaris 10/ 11 | - | 発行予定なし |
| Veritas NetBackup | 7.7.0 | Solaris 10/ 11 | - | 発行予定なし |
| Veritas NetBackup | 7.7.2/ 7.7.3/ 8.0 | Solaris 10/ 11 | - | VTS17-004 |
| Symantec NetBackup | 7.0 | RHEL-AS4(EM64T)/ ES4(EM64T)/ 5(Intel64) | - | 発行予定なし |
| Symantec NetBackup | 7.1 | RHEL-AS4(EM64T)/ ES4(EM64T)/ 5(Intel64)/ 6(Intel64) | - | 発行予定なし |
| Symantec NetBackup | 7.5.0.7 | RHEL 5(Intel64)/ 6(Intel64) | - | 発行予定なし |
| Symantec NetBackup | 7.6.0.3/ 7.6.1.1 | RHEL 5(Intel64)/ 6(Intel64)/ 7(Intel64) | - | 発行予定なし |
| Veritas NetBackup | 7.7.0 | RHEL 5(Intel64)/ 6(Intel64)/ 7(Intel64) | - | 発行予定なし |
| Veritas NetBackup | 7.7.2/ 7.7.3/ 8.0 | RHEL 5(Intel64)/ 6(Intel64)/ 7(Intel64) | - | VTS17-004 |
| Symantec NetBackup | 7.0/ 7.1/ 7.5.0.7 | Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2 | - | 発行予定なし |
| Symantec NetBackup | 7.6.0.3/ 7.6.1.1 | Windows Server 2003/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Server 2012 R2 | - | 発行予定なし |
| Veritas NetBackup | 7.7.0 | Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Server 2012 R2 | - | 発行予定なし |
| Veritas NetBackup | 7.7.2/ 7.7.3 | Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Server 2012 R2 | - | VTS17-004 |
| Veritas NetBackup | 8.0 | Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Server 2012 R2/ Windows Server 2016 | - | VTS17-004 |
参考: 該当製品の確認方法
それぞれのOSにおいて、以下テキストファイル内の"VERSION"の部分を確認します。
- Oracle Solaris、RedHat Enterprise Linux
<install_dir>/openv/netbackup/version - Windows
<install_dir>¥Veritas¥NetBackup¥version.txt
3-3. 回避方法
ありません。
4. 関連情報
- veritas社 Multiple Vulnerabilities in Veritas NetBackup and NetBackup Appliance
https://www.veritas.com/content/support/en_US/security/VTS17-004.html
5. 改版履歴
- 2017年9月1日 新規掲載
