CERT-FI haavoittuvuustiedote 061/2006

14.12.2006

Haavoittuvuuksia Veritas NetBackup -ohjelmistoissa


Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Symantec Veritas NetBackup -ohjelmisto on laajasti käytössä oleva varmuuskopiointiohjelmisto. NetBackup-ohjelmistosta on löytynyt kaksi uutta vakavaa haavoittuvuutta.

Molemmat haavoittuvuudet ovat puskuriylivuotoja NetBackup-ohjelmiston bpcd-prosessissa. Haavoittuvuuksia voidaan hyväksikäyttää lähettämällä tietyllä tavalla muokattu viesti haavoittuvan prosessin kuuntelemaan TCP-porttiin. Kaikkia haavoittuvuuksia hyväksikäyttämällä hyökkääjä voi suorittaa omia komentojaan kohdejärjestelmässä.

HAAVOITTUVAT OHJELMISTOT:

NetBackup Enterprise Server/NetBackup Server 6.0 < MP4
NetBackup Enterprise Server/NetBackup Server 5.1 < MP6
NetBackup Enterprise Server/NetBackup Server 5.0 < MP7

Haavoittuvuudelle ovat alttiita sekä varmuuskopioitavat asiakasjärjestelmät, että varmuuskopiointipalvelimet. Kaikki käyttöjärjestelmäympäristöt ovat haavoittuvia.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti.

http://seer.support.veritas.com/docs/285082.htm

LISÄTIETOA:

http://seer.support.veritas.com/docs/285082.htm

CVE-2006-4902 CVE-2006-5822 CVE-2006-6222

PÄIVITYSHISTORIA:

14.12.2006: Julkaistu

Sivua päivitetty 11.03.2007

Tulostusversio