Veritas NetBackup verwundbar
Sowohl die Client- als auch die Server-Software für Veritas NetBackup enthält einen Format-String-Fehler, den ein Angreifer ausnutzen kann, um Kontrolle über das System zu erlangen.
Sowohl die Client- als auch Server-Software für Veritas NetBackup enthält einen Format-String-Fehler, den ein Angreifer ausnutzen kann, um Kontrolle über das System zu erlangen. Der Fehler befindet sich im Java-basierten Authentifizierungs-Dienst "bpjava-msvc" und lässt sich über speziell geformte Befehle zum COMMAND_LOGON_TO_MSERVER auslösen. Der Dienst ist per Default auf Port 13722 zu erreichen und läuft meist mit Root- oder System-Rechten. Betroffen sind:
- NetBackup Data and Business Center 4.5FP
- NetBackup Data and Business Center 4.5MP
- NetBackup Enterprise/Server/Client 5.0
- NetBackup Enterprise/Server/Client 5.1
- NetBackup Enterprise/Server/Client 6.0
in allen Versionen auf allen Plattformen. Symantec stellt Updates bereit, die den Fehler beseitigen.
Siehe dazu auch: (ju)
- Security Advisory von Symantec
