Se
han anunciado
tres vulnerabilidades críticas en Veritas
NetBackup y NetBackup Appliance que podrían permitir a un atacante remoto escribir archivos y ejecutar
código arbitrario en los sistemas afectados.
Veritas Backup es un popular y
completo sistema de almacenamiento y restauración de copias de seguridad en
red.
Los problemas residen en el
proceso 'bprd' en un servidor maestro. Podrían permitir evitar el filtrado de
directorios por lista blanca y la ejecución de comandos a usuarios remotos sin
autenticar como root/administrator (CVE-2017-8856). También
se podría copiar cualquier archivo sobre otro en un host NetBackup en el
dominio del servidor maestro y su posterior ejecución como root/administrator (CVE-2017-8857). Y por
último la escritura de cualquier archivo en un host NetBackup host en el
dominio del servidor maestro (CVE-2017-8858).
La vulnerabilidad está confirmada
para NetBackup 8.0 (y anteriores) y NetBackup Appliance 3.0 (y anteriores). Se han
publicado actualizaciones para corregir estos problemas disponibles desde:
Más información:
VTS17-004: Multiple Vulnerabilities in Veritas
NetBackup and NetBackup Appliance
Antonio Ropero
Twitter: @aropero
