Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00002

Опубликовано: 15 нояб. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость консоли Java Admin Console программных средств для резервного копирования и восстановления данных NetBackup Appliance и NetBackup связана с непринятием мер по нейтрализации специальных элементов, используемых в командах операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды от имени root-пользователя

Вендор

Veritas Technologies LLC

Наименование ПО

NetBackup
NetBackup Appliance

Версия ПО

до 8.2 (NetBackup)
от 8.3.0 до 8.3.0.1 (NetBackup)
от 9.0.0 до 9.0.0.1 (NetBackup)
от 9.1.0 до 9.1.0.1 (NetBackup)
от 10.0.0 до 10.0.0.1 (NetBackup)
от 10.1.0 до 10.1 Hotfix (NetBackup)
до 3.2 (NetBackup Appliance)
от 3.3.0 до 3.3.0.1 (NetBackup Appliance)
от 4.0.0 до 4.0.0.1 (NetBackup Appliance)
от 4.1.0 до 4.1.0.1 (NetBackup Appliance)
от 5.0.0 до 5.0.0.1 MR1 SP1 (NetBackup Appliance)

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Unix .
Сообщество свободного программного обеспечения Linux .

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- удаление из файла auth.conf неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- использование средств межсетевого экранирования для ограничения удаленного доступа;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.
Использование рекомендаций:
https://www.veritas.com/content/support/en_US/security/VTS22-015

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 80%
0.01463
Низкий

7.5 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-45461

CVSS3: 7.5
nvd
около 3 лет назад

The Java Admin Console in Veritas NetBackup through 10.1 and related Veritas products on Linux and UNIX allows authenticated non-root users (that have been explicitly added to the auth.conf file) to execute arbitrary commands as root.

github логотип

GHSA-88xw-x72q-5jff

CVSS3: 8.8
github
около 3 лет назад

The Java Admin Console in Veritas NetBackup through 10.1 and related Veritas products on Linux and UNIX allows authenticated non-root users (that have been explicitly added to the auth.conf file) to execute arbitrary commands as root.

EPSS

Процентиль: 80%
0.01463
Низкий

7.5 High

CVSS3

7.1 High

CVSS2