本週Veritas發布資安公告,指出Windows版網路備份系統NetBackup存在高風險權限提升漏洞(尚未取得CVE編號),影響用戶端、Primary Server、Media Server等元件,具有這個漏洞的產品版本涵蓋10.0至10.4.0.1版,該公司指出,不再受到支援的舊版也可能曝險。
該公司指出,這項漏洞涉及不受控制的搜尋路徑元素,一旦攻擊者取得安裝NetBackup的磁碟根目錄寫入權限,就有機會藉由漏洞部署惡意DLL程式庫,一旦使用者執行NetBackup命令,就會載入此DLL,並執行攻擊者的程式碼,此漏洞的CVSS風險評為7.8分。至於如何在適當時機讓使用者執行NetBackup命令,以觸發攻擊?Veritas指出,可利用社交工程手法達到目的。
對此,他們建議用戶升級NetBackup到最新的10.5版,或是升級至10.4.0.1或10.3.0.1版,並套用對應的修補套件。
若是IT人員無法安裝新版程式,該公司建議,在部署NetBackup的磁碟根目錄,設置名為bin的資料夾,並限制只能由具備管理員權限的用戶存取。
熱門新聞
2024-12-10
2024-12-08
2024-12-10
2024-12-10
2024-12-10
2024-11-29
Advertisement