Bisherige Aktualisierungen
- 1.0: 23. Dezember 2020: Erstfassung
- 1.1: 8. Januar 2021: CVE-IDs ergänzt, Abschnitte zur Behebung und zur Gegenmaßnahme überarbeitet.
Zusammenfassung
Veritas hat im Rahmen seines kontinuierlichen Testprozesses Probleme identifiziert, bei denen Angreifer über Veritas NetBackup und OpsCenter beliebigen Code mit Administratorberechtigungen ausführen können.
Problem Nr. 1
CVE-ID: CVE-2020-36169
Schweregrad: Kritisch
CVSS v3.1 Base Score: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
Bei NetBackup-Prozessen, bei denen OpenSSL genutzt wird, wird versucht, Bibliotheken über Pfade zu laden und auszuführen, die auf dem Windows-Betriebssystem nicht standardmäßig vorhanden sind. Standardmäßig können Benutzer auf Windows-Systemen auf allen Laufwerken Verzeichnisse anlegen. Beispiel: C:\. Erstellt ein Benutzer mit eingeschränkten Berechtigungen auf dem Windows-System einen entsprechenden Pfad mit einer Bibliothek, für die ein Ladeversuch über NetBackup erfolgt, kann beliebiger Code als SYSTEM oder Administrator ausgeführt werden. Angreifer erhalten so Administratorzugriff auf das System und können dann (standardmäßig) auf sämtliche Daten, alle installierten Anwendungen usw. zugreifen.
Diese Sicherheitslücke betrifft NetBackup-Masterserver, -Medienserver, -Clients und OpsCenter-Server auf der Windows-Plattform.
Die Sicherheitslücke besteht bei Installation, Aktualisierung und NetBackup-Normalbetrieb nach der Installation.
Problem Nr. 2
CVE-ID: CVE-2020-36163
Schweregrad: Kritisch
CVSS v3.1 Base Score: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
Bei NetBackup-Prozessen, bei denen Strawberry Per genutzt wird, wird versucht, Bibliotheken über Pfade zu laden und auszuführen, die auf dem Windows-Betriebssystem nicht standardmäßig vorhanden sind. Standardmäßig können Benutzer auf Windows-Systemen auf C:\ Verzeichnisse anlegen. Erstellt ein Benutzer mit eingeschränkten Berechtigungen auf dem Windows-System einen entsprechenden Pfad mit einer Bibliothek, für die ein Ladeversuch über NetBackup erfolgt, kann beliebiger Code als SYSTEM oder Administrator ausgeführt werden. Angreifer erhalten so Administratorzugriff auf das System und können dann (standardmäßig) auf sämtliche Daten, alle installierten Anwendungen usw. zugreifen.
Diese Sicherheitslücke betrifft NetBackup-Masterserver, -Medienserver, -Clients und OpsCenter-Server auf der Windows-Plattform.
Die Sicherheitslücke besteht bei Installation und Aktualisierung auf allen Systemen und beim NetBackup-Normalbetrieb nach der Installation auf Master-, Medien- und OpsCenter-Servern.
Betroffene Versionen
Betroffen sind NetBackup und OpsCenter Version 8.3.0.1 und ältere Versionen.
Das Problem betrifft nur die Windows-Plattform.
CloudPoint: Wenn Sie CloudPoint nutzen, erhalten Sie eine ausführliche Anleitung in der Empfehlung zu Veritas CloudPoint.
Behebung
Kunden mit laufendem Wartungsvertrag können den NetBackup-HotFix herunterladen, um die Sicherheitslücke für bereits installierte NetBackup-Masterserver, -Medienserver und -Clients zu schließen. Um die Sicherheitslücke für bereits installiertes OpsCenter zu schließen, installieren Sie den OpsCenter-HotFix.
Wenn Sie eine betroffene Version von NetBackup oder OpsCenter installieren oder eine entsprechende Version aktualisieren möchten, führen Sie vor Start der Installation oder Aktualisierung die Schritte im Abschnitt zur Gegenmaßnahme aus. Hinweis: Dieser Schritt ist auch dann erforderlich, wenn Sie von einer Version aktualisieren, für die der HotFix bereits installiert ist. Nach Abschluss der Installation oder Aktualisierung installieren Sie den HotFix für die installierte Version von NetBackup/OpsCenter.
Empfohlene Maßnahmen:
| NetBackup-Version | Client | Medien | Master | OpsCenter |
|---|---|---|---|---|
|
9.0 und neuer |
k. A. |
k. A. |
k. A. |
k. A. |
|
8.3.0.1 |
HotFix |
HotFix |
HotFix |
HotFix |
|
8.3 |
HotFix |
HotFix |
HotFix |
HotFix |
|
8.2 |
HotFix |
HotFix |
HotFix |
HotFix |
|
8.1.2 |
HotFix |
HotFix |
HotFix |
HotFix |
|
8.1.1 |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
|
8.1 |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
|
8.0 |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
|
7.7.3 |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
| NetBackup-Version | Client | Medien | Master | OpsCenter |
|---|---|---|---|---|
|
9.0 und neuer |
k. A. |
k. A. |
k. A. |
k. A. |
|
8.3.0.1 |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
|
8.3 |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
|
8.2 |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
|
8.1.2 |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
|
8.1.1 |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
|
8.1 |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
| NetBackup-Version | Client | Medien | Master | OpsCenter |
|---|---|---|---|---|
|
9.0 und neuer |
k. A. |
k. A. |
k. A. |
k. A. |
|
8.3.0.1 |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
|
8.3 |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
|
8.2 |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
|
8.1.2 |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
Problemumgehung und HotFix |
|
8.1.1 |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
|
8.1 |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
Nur Problemumgehung |
Gegenmaßnahme
HINWEIS: Veritas empfiehlt dringend, Version 9.0 oder neuer oder eine Version mit HotFix auszuführen.
-
Problemumgehung
- Diese Problemumgehung senkt das Risiko bis zur Anwendung eines ggf. verfügbaren HotFix bzw. bis zur Aktualisierung des Systems auf Version 9.0 oder neuer.
- Sicherheit für Verzeichnisse
- Erstellen Sie über ein Administratorkonto die unten aufgeführten Verzeichnisse und sperren Sie in der ACL für das Verzeichnis für alle anderen Benutzer den Schreibzugriff.
- Wenn die Verzeichnisse bereits vorhanden sind und die ACLs anderen Benutzern Schreibzugriff gewähren, müssen Sie die ACLs aktualisieren, sodass ausschließlich Administratorkonten Schreibzugriff gewährt wird.
- Löschen Sie die Verzeichnisse nicht.
- \usr\local\ssl
- BS-Installationslaufwerk: zum Beispiel C:\usr\local\ssl
- NetBackup-Installationslaufwerk: zum Beispiel D:\usr\local\ssl
- C:\strawberry (8.1.2 und neuere Versionen)
- C:\Temp\strawberry (8.1.1. und neuere Versionen)
- Führen Sie für jeden NetBackup-Befehl vor dessen Ausführung "cd" zu dem Verzeichnis aus, das den NetBackup-Befehl enthält.
-
Bestandsinstallation
- HotFix verfügbar:
- Wenden Sie das HotFix für die installierte Version an.
- Kein HotFix verfügbar:
- Wenden Sie die oben aufgeführten Schritte zur Problemumgehung an.
-
Neuinstallation
- Installation von Version 9.0 oder neuer:
- Führen Sie die Neuinstallation aus.
- Es sind keine weiteren Maßnahmen erforderlich.
- Installation einer Version vor 9.0:
- Wenden Sie die oben aufgeführten Schritte zur Problemumgehung an.
- Führen Sie die Neuinstallation aus.
- HotFix verfügbar:
- Wenden Sie das HotFix für die installierte Version an.
-
Installationsaktualisierung
- o Aktualisierung auf Version 9.0 oder neuer
- Führen Sie die Aktualisierung aus.
- Sie können die in der Problemumgehung aufgeführten Verzeichnisse löschen.
- Aktualisierung auf eine Version vor 9.0:
- Wenden Sie die oben aufgeführten Schritte zur Problemumgehung an.
- Dieser Schritt ist auch dann erforderlich, wenn Sie von einer Version aktualisieren, für die der HotFix bereits installiert ist.
- Führen Sie die Aktualisierung aus.
- HotFix verfügbar:
- Wenden Sie den HotFix für die installierte Version an.
Beispiel zur Sperrung des Schreibzugriffs für Benutzer ohne Administratorberechtigungen:
Informationen zum Herunterladen
Hinweis: Diese Downloads beziehen sich auf beide der zu Beginn dieses Dokuments aufgeführten Sicherheitslücken.
- HotFix
- OpenSSL Update Hotfixes für NetBackup 8.1.2
- NetBackup 8.1.2 – Aktualisierung von OpenSSL auf Windows-Master- oder Medienservern (ET 4020525)
- https://www.veritas.com/support/de_DE/downloads/update.UPD637939
- NetBackup 8.1.2 HotFix – Aktualisierung von OpenSSL auf Windows-Clients (ET 4021310)
- https://www.veritas.com/support/de_DE/downloads/update.UPD748218
- NetBackup OpsCenter 8.1.2 HotFix – Aktualisierung von OpenSSL auf Windows-OpsCenter-Servern (ET 4021454)
- https://www.veritas.com/support/de_DE/downloads/update.UPD471540
- OpenSSL Update Hotfixes für NetBackup 8.2
- NetBackup 8.2 HotFix – Aktualisierung von OpenSSL auf Windows-Master- oder Medienservern (ET 4020077)
- https://www.veritas.com/support/de_DE/downloads/update.UPD255190
- NetBackup 8.2 HotFix – Aktualisierung von OpenSSL auf NetBackup-Windows-Clients (ET 4021217)
- https://www.veritas.com/support/de_DE/downloads/update.UPD450754
- NetBackup OpsCenter 8.2 HotFix – Aktualisierung von OpenSSL auf Windows-OpsCenter-Servern (ET 4021453)
- https://www.veritas.com/support/de_DE/downloads/update.UPD518556
- OpenSSL Update Hotfixes für NetBackup 8.3
- NetBackup 8.3 HotFix – Aktualisierung von OpenSSL auf Windows-Master- oder Medienservern (ET 4021901)
- https://www.veritas.com/support/de_DE/downloads/update.UPD475064
- NetBackup 8.3 HotFix – Aktualisierung von OpenSSL auf Windows-Clients (ET 4022116)
- https://www.veritas.com/support/de_DE/downloads/update.UPD870749
- NetBackup OpsCenter 8.3 HotFix – Aktualisierung von OpenSSL auf Windows-OpsCenter-Servern (ET 4022185)
- https://www.veritas.com/support/de_DE/downloads/update.UPD606869
- OpenSSL Update Hotfixes für NetBackup 8.3.0.1
- NetBackup 8.3.0.1 HotFix – Aktualisierung von OpenSSL auf Windows-Master- oder Medienservern (ET 4019812)
- https://www.veritas.com/support/de_DE/downloads/update.UPD793441
- NetBackup 8.3.0.1 HotFix – Aktualisierung von OpenSSL auf Windows-Clients (ET 4021146)
- https://www.veritas.com/support/de_DE/downloads/update.UPD882155
- NetBackup OpsCenter 8.3.0.1 HotFix – Aktualisierung von OpenSSL auf Windows-OpsCenter-Servern (ET 4021447)
- https://www.veritas.com/support/de_DE/downloads/update.UPD480348
Fragen
Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den Veritas-Techniksupport (https://www.veritas.com/support/de_DE).