ГлавнаяБаза уязвимостей БДУ → BDU:2023-00002
7.1высокая

BDU:2023-00002 (CVE-2022-45461)

Уязвимость консоли Java Admin Console программных средств для резервного копирования и восстановления данных NetBackup Appliance и NetBackup, позволяющая нарушителю выполнить произвольные команды от имени root-пользователя
Опубликовано: 2023-01-01
Описание

Уязвимость консоли Java Admin Console программных средств для резервного копирования и восстановления данных NetBackup Appliance и NetBackup связана с непринятием мер по нейтрализации специальных элементов, используемых в командах операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды от имени root-пользователя

Затрагиваемое ПО и версии
NetBackup (до 8.2)NetBackup (от 8.3.0 до 8.3.0.1)NetBackup (от 9.0.0 до 9.0.0.1)NetBackup (от 9.1.0 до 9.1.0.1)NetBackup (от 10.0.0 до 10.0.0.1)NetBackup (от 10.1.0 до 10.1 Hotfix)NetBackup Appliance (до 3.2)NetBackup Appliance (от 3.3.0 до 3.3.0.1)NetBackup Appliance (от 4.0.0 до 4.0.0.1)NetBackup Appliance (от 4.1.0 до 4.1.0.1)NetBackup Appliance (от 5.0.0 до 5.0.0.1 MR1 SP1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- удаление из файла auth.conf неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- использование средств межсетевого экранирования для ограничения удаленного доступа;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.

Использование рекомендаций:
https://www.veritas.com/content/support/en_US/security/VTS22-015

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2022-45461https://www.veritas.com/content/support/en_US/security/VTS22-015
Проверьте безопасность своего сайта и почты → Полная проверка домена