Symantec Veritas NetBackup: Communications Setup に特権昇格の脆弱性 (2009年4月8日)

本セキュリティサイトについてのご注意

1.脆弱性の説明

Symantec Veritas NetBackup製品のCommunications Setup に特権昇格の脆弱性があります。

「3. 該当システム・対策情報」にセキュリティパッチを示していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

Veritas NetBackup の影響を受けるバージョンでは、非特権の正当なシステムユーザーが Veritas Network Daemon (vnetd) を使用することにより、そのシステム上で特権の昇格を取得することができます。

3. 該当システム・対策情報

3-1.該当システム

[機種名] SPARC Enterprise Server, PRIMEPOWER, GRANPOWER, Sun Fire, S-7シリーズ, Sun Blade, PRIMERGY, PRIMEQUEST

[OS名] Solaris, Windows, RedHat Linux

3-2.該当製品・対策Patch

VERITAS NetBackup
製品名	対象OS	パッケージ名	Patch ID
VERITAS NetBackup 6.5	Solaris 8, 9, 10	SYMCnetbp	NB_6.5.3.1 (http://seer.entsupport.symantec.com/docs/319524.htm) NB_CLT_6.5.3.1 (http://seer.entsupport.symantec.com/docs/319529.htm) NB_JAV_6.5.3.1 (http://seer.entsupport.symantec.com/docs/319530.htm)
VERITAS NetBackup 6.5	Windows Server 2003/ Windows 2000 Serverファミリー	NetBackup	NB_6.5.3.1 (http://seer.entsupport.symantec.com/docs/319528.htm)
VERITAS NetBackup 6.5	Windows Server 2003 for Itanium-based Systems	NetBackup	NB_6.5.3.1 (http://seer.entsupport.symantec.com/docs/319526.htm)
VERITAS NetBackup 6.5	Windows Sever 2008(64bit)/ Windows Server 2003(x64)	NetBackup	NB_6.5.3.1(注1) (http://seer.entsupport.symantec.com/docs/319527.htm)
VERITAS NetBackup 6.5	RHEL5(Intel64)/ RHEL-AS4(x86/EM64T)/ RHEL-ES4(x86/EM64T)/ RHEL-AS3(x86)/ RHEL-ES3(x86)/ RHEL-AS2.1(x86)/ RHEL-ES2.1(x86)	－	NB_6.5.3.1(注2) (http://seer.entsupport.symantec.com/docs/319520.htm) NB_6.5.3.1(注3) (http://seer.entsupport.symantec.com/docs/319518.htm) NB_CLT_6.5.3.1 (http://seer.entsupport.symantec.com/docs/319529.htm) NB_JAV_6.5.3.1 (http://seer.entsupport.symantec.com/docs/319530.htm)
VERITAS NetBackup 6.5	RHEL-AS4(Itanium)	－	NB_6.5.3.1 (http://seer.entsupport.symantec.com/docs/319519.htm) NB_CLT_6.5.3.1 (http://seer.entsupport.symantec.com/docs/319529.htm) NB_JAV_6.5.3.1 (http://seer.entsupport.symantec.com/docs/319530.htm)
VERITAS NetBackup 6.0	Solaris 8, 9, 10	VRTSnetbp	NB_CLT_60_7S01_M (http://seer.entsupport.symantec.com/docs/319471.htm)
VERITAS NetBackup 6.0	Windows Server 2003/ Windows 2000 Serverファミリー	NetBackup	NB_60_7S01_M (http://seer.entsupport.symantec.com/docs/319469.htm)
VERITAS NetBackup 6.0	Windows Server 2003 for Itanium-based Systems	NetBackup	NB_60_7S01_M (http://seer.entsupport.symantec.com/docs/319468.htm)
VERITAS NetBackup 6.0	Windows Server 2003ファミリー(x64)	NetBackup	NB_60_7S01_M (http://seer.entsupport.symantec.com/docs/319470.htm)
VERITAS NetBackup 6.0	RHEL-AS4(x86/EM64T)/ RHEL-ES4(x86/EM64T)/ RHEL-AS3(x86)/ RHEL-ES3(x86)/ RHEL-AS2.1(x86)/ RHEL-ES2.1(x86)	－	NB_CLT_60_7S01_M (http://seer.entsupport.symantec.com/docs/319471.htm)
VERITAS NetBackup 6.0	RHEL-AS4(Itanium)	－	NB_CLT_60_7S01_M (http://seer.entsupport.symantec.com/docs/319471.htm)

(注意) NetBackup5.x はEOL製品のため、修正パッチは提供されません。製品のバージョンアップによる対処をお願いします。

注1) Windows Server 2008ではクライアントのみ該当
注2) RHEL4(x86, EM64T)以降のサーバのみ該当
注3) RHEL3(x86)以前のサーバのみ該当

ページの先頭へ

参考: 該当製品の確認方法

本件は、適用パッチのレベルには関係ありません。
NetBackup5.x, 6.0, 6.5 の Server/ Enterprise Server製品を適用されている場合、本件に該当します。

3-3. 回避方法

本脆弱性は、パッチの適用ができない間、以下の方法で影響を緩和できる場合があります。

管理体制または管理システムへのアクセスを、特権ユーザーに限定します。
必要に応じて、リモートアクセスを信頼できるシステムや認証されたシステムのみに制限します。

4. 関連情報

シマンテック社 SYM09-002：Symantec NetBackup の Communications Setup に特権昇格の脆弱性
http://www.symantec.com/region/jp/avcenter/security/content/2009.02.17.html

5. 改版履歴

2009年4月8日新規掲載

ページの先頭へ