Cronologia delle revisioni

  • 1.0: 23 dicembre 2020: versione iniziale
  • 1.1: 8 gennaio 2021: aggiunto ID CVE, aggiornate le sezioni Riparazione e Possibile soluzione

Riepilogo

Durante le periodiche procedure di test, Veritas ha individuato alcuni problemi per cui Veritas NetBackup and OpsCenter potrebbe permettere a un malintenzionato di eseguire codice arbitrario con privilegi di amministratore.

Problema n. 1

ID CVE: CVE-2020-36169
Gravità: Critica
Punteggio base CVSS v3.1: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

I processi di NetBackup che usano OpenSSL tentano di caricare ed eseguire librerie da percorsi che non esistono, per impostazione predefinita sul sistema operativo Windows. Per impostazione predefinita, sui sistemi Windows gli utenti possono creare directory in qualsiasi unità, ad esempio C:\. Se un utente con privilegi ridotti sul sistema Windows crea un percorso interessato con una libreria che NetBackup tenta di caricare, potrà eseguire codice arbitrario come SYSTEM o Amministratore. In questo modo, il malintenzionato ottiene l'accesso di amministratore sul sistema, con accesso predefinito a tutti i dati, le applicazioni installate e così via.

Questa vulnerabilità si applica ai server master, i server multimediali, i client e i server OpsCenter di NetBackup sulla piattaforma Windows.

Il sistema è vulnerabile durante un'installazione, un upgrade o in seguito all'installazione durante il normale funzionamento di NetBackup.

Problema n. 2

ID CVE: CVE-2020-36163
Gravità: Critica
Punteggio base CVSS v3.1: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

I processi di NetBackup che usano Strawberry Perl tentano di caricare ed eseguire librerie da percorsi che non esistono, per impostazione predefinita sul sistema operativo Windows. Per impostazione predefinita, sui sistemi Windows gli utenti possono creare directory in C:\. Se un utente con privilegi ridotti sul sistema Windows crea un percorso interessato con una libreria che NetBackup tenta di caricare, potrà eseguire codice arbitrario come SYSTEM o Amministratore. In questo modo, il malintenzionato ottiene l'accesso di amministratore sul sistema, con accesso predefinito a tutti i dati, le applicazioni installate e così via.

Questa vulnerabilità si applica ai server master, i server multimediali, i client e i server OpsCenter di NetBackup sulla piattaforma Windows.

Il sistema è vulnerabile durante un'installazione, un upgrade su tutti i sistemi o in seguito all'installazione durante il normale funzionamento di NetBackup su server master, multimediali e OpsCenter.

Versioni interessate

NetBackup and OpsCenter versioni 8.3.0.1 e precedenti.

Il problema interessa solo la piattaforma Windows.

CloudPoint: se si utilizza CloudPoint, consultare le istruzioni dettagliate fornite nell'advisory su Veritas CloudPoint.

Riparazione

I clienti con un contratto Maintenance attivo possono scaricare e installare l'hot fix di NetBackup per correggere le vulnerabilità in un server master, server multimediale e client NetBackup già installato. Installare l'hot fix di OpsCenter per correggere le vulnerabilità per un OpsCenter già installato.

Se si desidera installare o eseguire l'upgrade a una versione interessata di NetBackup o OpsCenter, seguire i passaggi elencati nella sezione di mitigazione prima di avviare l'installazione o l'upgrade. Nota: l'operazione deve essere effettuata anche se si esegue l'upgrade da una versione con hot fix già installato. Una volta completati l'installazione o l'upgrade, installare l'hot fix per la versione installata di NetBackup/OpsCenter.

Azioni consigliate:

Installazione esistente
Versione di NetBackup Client Multimediale Master OpsCenter

9.0 e successive

N/D

N/D

N/D

N/D

8.3.0.1

Hot fix

Hot fix

Hot fix

Hot fix

8.3

Hot fix

Hot fix

Hot fix

Hot fix

8.2

Hot fix

Hot fix

Hot fix

Hot fix

8.1.2

Hot fix

Hot fix

Hot fix

Hot fix

8.1.1

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

8.1

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

8.0

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

7.7.3

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

Eseguire l'upgrade dell'installazione a
Versione di NetBackup Client Multimediale Master OpsCenter

9.0 e successive

N/D

N/D

N/D

N/D

8.3.0.1

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

8.3

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

8.2

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

8.1.2

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

8.1.1

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

8.1

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

Nuova installazione
Versione di NetBackup Client Multimediale Master OpsCenter

9.0 e successive

N/D

N/D

N/D

N/D

8.3.0.1

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

8.3

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

8.2

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

8.1.2

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

Soluzione alternativa e hot fix

8.1.1

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

8.1

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

Solo soluzione alternativa

Possibile soluzione

NOTA: Veritas consiglia fortemente di eseguire la versione 9.0 o successiva oppure una versione con hot fix.

  • Soluzione alternativa

    • Questa soluzione alternativa ridurrà il rischio fino all'applicazione dell'hot fix, se disponibile, oppure all'aggiornamento del sistema alla versione 9.0 o successiva.
    • Protezione delle directory
      • Usando un account amministratore creare le directory elencate di seguito e impostare il controllo degli accessi sulla directory per impedire l'accesso in scrittura a tutti gli altri utenti.
        • Se le directory esistono già e i controlli degli accessi consentono l'accesso in scrittura agli altri utenti, è necessario aggiornarli in modo che l'accesso in scrittura possa essere concesso solo dagli account amministratori
        • Non eliminare queste directory.
      • \usr\local\ssl
        • Unità di installazione del sistema operativo, ad esempio: C:\usr\local\ssl
        • Unità di installazione di NetBackup, ad esempio: D:\usr\local\ssl
      • C:\strawberry (8.1.2 e versioni successive)
      • C:\strawberry (8.1.1 e versioni precedenti)
    • Per i comandi di NetBackup, accedere con il comando "cd" alla directory contenente il comando di NetBackup prima di eseguirlo.

    Un esempio di eliminazione dell'autorizzazione di scrittura per gli utenti non amministratori:

  • Installazione esistente

    • Se è disponibile un hot fix
      • Applicare l'hot fix per la versione installata
    • Se non è disponibile un hot fix
      • Seguire i passaggi della soluzione alternativa elencati in precedenza
  • Nuova installazione

    • Se si installa la versione 9.0 o successiva
      • Eseguire la nuova installazione
      • Non sono richieste altre azioni
    • Se si installa una versione precedente alla 9.0
      • Seguire i passaggi della soluzione alternativa elencati in precedenza
      • Eseguire la nuova installazione
      • Se è disponibile un hot fix
        • Applicare l'hot fix per la versione installata
  • Eseguire l'upgrade dell'installazione

    • o se si esegue l'upgrade alla versione 9.0 o successiva
      • Eseguire l'upgrade
      • Le directory indicate nella soluzione alternativa potrebbero essere eliminate.
    • Se si esegue l'upgrade a una versione precedente alla 9.0
      • Seguire i passaggi della soluzione alternativa elencati in precedenza
        • L'operazione deve essere effettuata anche se si esegue l'upgrade da una versione con hot fix già installato
      • Eseguire l'upgrade
      • Se è disponibile un hot fix
        • Applicare l'hot fix per la nuova versione

Informazioni di download

Nota: questi download correggono entrambe le vulnerabilità elencate all'inizio del documento.

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT).