本周Veritas发布安全公告,指出Windows版网络备份系统NetBackup存在高风险权限提升漏洞(尚未取得CVE编号),影响用户端、Primary Server、Media Server等组件,具有这个漏洞的产品版本涵盖10.0至10.4.0.1版,该公司指出,不再受到支持的旧版也可能曝险。
该公司指出,这项漏洞涉及不受控制的搜索路径元素,一旦攻击者取得安装NetBackup的磁盘根目录写入权限,就有机会借由漏洞部署恶意DLL程序库,一旦用户执行NetBackup命令,就会加载此DLL,并执行攻击者的程序代码,此漏洞的CVSS风险评为7.8分。至于如何在适当时机让用户执行NetBackup命令,以触发攻击?Veritas指出,可利用社交工程手法达到目的。
对此,他们建议用户升级NetBackup到最新的10.5版,或是升级至10.4.0.1或10.3.0.1版,并套用对应的修补组件。
若是IT人员无法安装新版程序,该公司建议,在部署NetBackup的磁盘根目录,设置名为bin的文件夹,并限制只能由具备管理员权限的用户访问。
