Veritas NetBackup: Update schließt teils kritische Scherheitslücken
In Veritas NetBackup Flex Scale und Access Appliance könnten Angreifer aus dem Netz ohne Anmeldung Befehle einschleusen. Hotfixes beheben die Fehler.
Administratoren von Veritas NetBackup FlexScale und Access Appliance sollten frisch bereitgestellte Aktualisierungen so schnell wie möglich installieren. Sie schließen mehrere Sicherheitslücken. Darunter auch eine, durch die Angreifer aus dem Netz beliebige Befehle einschleusen könnten.
Insgesamt fünf Schwachstellen dichten die neuen Versionen NetBackup Flex Scale 3.0 mit dem Hotfix sowie Access Appliance 7.4.3.300 respektive 8.0.100 mit Hotfix ab. Eine davon gilt dem Hersteller als kritisch und hat eine CVSS-Einstufung von 9.8, vier weitere hingegen bewerten die Entwickler als hohes Risiko mit einer CVSS-Bewertung von 8.8.
Keine Details verfügbar
Weitergehende Informationen zu den Lücken hält der Hersteller zurück. Zu der kritischen Sicherheitslücke nennt das Advisory etwa lediglich, dass NetBackup Flex Scale und Access Appliance verwundbar für das Ausführen von Befehlen aus der Ferne ohne vorherige Authentifizierung seien. Die CVE-Nummer will der Hersteller noch nachreichen.
Die weiteren Lücken umfassen etwa, dass angemeldete Nutzer unbefugt Befehle aus der Ferne einschleusen könnten oder dass nach der Installation ein Standardpasswort für den Primärnutzer angelegt wird. Nutzer könnten zudem ihre Rechte ausweiten und Befehle ausführen. Eine weitere Lücke erlaubt nicht-root-Nutzern weiterhin, bestimmte Befehle als root zu starten.
In der Sicherheitsmeldung schreiben die Veritas-Entwickler nicht, ob für die Schwachstellen bereits Exploits kursieren. IT-Verantwortliche sollten aufgrund der Gefahreneinstufung als kritische Sicherheitslücke die bereitstehenden Aktualisierungen zügig herunterladen und installieren. Sie stehen auf der Support-Downloadseite bereit.
Administratoren von Veritas NetBackup mussten zuletzt im Juli dieses Jahres aktiv werden und Updates zum Schließen von Schwachstellen installieren. Da gab es sogar zwei kritische Sicherheitslücken abzudichten.
(dmk)