Fehler in Veritas NetBackup ermöglicht höhere Zugriffsrechte
Die Java GUI von Veritas NetBackup enthält einen Fehler, mit dem ein nicht privilegierter Nutzer seine Zugriffsrechte auf dem Server erhöhen kann.
Die Java GUI von Veritas NetBackup enthält einen Fehler, mit dem ein nicht privilegierter Nutzer seine Zugriffsrechte auf dem Server erhöhen kann. Sobald die GUI startet und mit dem Server verbindet, startet dort ein Prozess namens bpjava-susvc. Schickt ein Angreifer an diesen Prozess bestimmte Kommandos, führt der Prozess diese mit Root-Rechten aus. Betroffen ist eine ganze Latte von NetBackup-Versionen, nähere Einzelheiten sind dem Original-Advisory des Herstellers zu entnehmen.
Ein Fix soll mit NetBackup 6.0 erscheinen. Bis dahin schlägt Veritas als Workaround vor, die No-Call-Back-Funktion zu benutzen. Dazu muss auf dem System, wo die Java-GUI startet, die Option NBJAVA_CONNECT_OPTION auf 1 gesetzt sein. Ein Anleitung gibt Veritas im Advisory.
Siehe dazu auch: (dab)
- Security Advisory von Veritas
