Se han anunciado tres vulnerabilidades
críticas en Veritas NetBackup y NetBackup Appliance que podrían permitir a un
atacante remoto escribir archivos y ejecutar código arbitrario en los sistemas
afectados.
Veritas Backup es un popular y
completo sistema de almacenamiento y restauración de copias de seguridad en
red.
Detalle de la
vulnerabilidad
- Los problemas residen en el proceso 'bprd' en un
servidor maestro. Podrían permitir evitar el filtrado de directorios por
lista blanca y la ejecución de comandos a usuarios remotos sin autenticar
como root/administrator (CVE-2017-8856). También se podría copiar
cualquier archivo sobre otro en un host NetBackup en el dominio del
servidor maestro y su posterior ejecución como root/administrator
(CVE-2017-8857). Y por último la escritura de cualquier archivo en un host
NetBackup host en el dominio del servidor maestro (CVE-2017-8858).
- La vulnerabilidad está confirmada para NetBackup 8.0
(y anteriores) y NetBackup Appliance 3.0 (y anteriores).
Recomendación
- Se han publicado
actualizaciones para corregir estos problemas disponibles desde: https://www.veritas.com/docs/000126389
Más información:
- VTS17-004:
Multiple Vulnerabilities in Veritas NetBackup and NetBackup Appliance https://www.veritas.com/content/support/en_US/security/VTS17-004.html
Fuente: Hispasec
