Objet: Vulnérabilité dans Veritas Backup Exec et dans Veritas NetBackup

Risque

Atteinte à la confidentialité des données.

Systèmes affectés

• Veritas Backup Exec for Windows Servers 8.6 ;
• Veritas Backup Exec for Windows Servers 9.0 ;
• Veritas Backup Exec for Windows Servers 9.1 ;
• Veritas Backup Exec for Windows Servers 10.0 ;
• Veritas Backup Exec Remote Agent for Windows Servers ;
• Veritas Backup Exec Remote Agent for Unix or Linux Servers ;
• Veritas Backup Exec for NetWare Servers 9.0 ;
• Veritas Backup Exec for NetWare Servers 9.1 ;
• Veritas Backup Exec Remote Agent for NetWare Servers ;
• Veritas NetBackup for NetWare Media Server Option 4.5 ;
• Veritas NetBackup for NetWare Media Server Option 4.5 FP ;
• Veritas NetBackup for NetWare Media Server Option 5.0 ;
• Veritas NetBackup for NetWare Media Server Option 5.1.

Description

Une vulnérabilité, liée à l'utilisation d'un mot de passe statique lors du processus d'authentification entre les agents et les serveurs des produits Veritas, a été découverte. Cette vulnérabilité peut être exploitée par un utilisateur mal intentionné afin d'obtenir un accès distant et de télécharger des fichiers vers ou depuis le serveur de sauvegarde.

Contournement provisoire

Filtrer le port 10000/tcp.

Solution

Appliquer le correctif de Symantec tel qu'indiqué dans le bulletin de sécurité SYM05-011 (voir Documentation).

Documentation

• Bulletin de sécurité de Symantec SYM05-011 du 12 août 2005 :

  http://securityresponse.symantec.com/avcenter/security/Content/2005.08.12b.html
  

• Correctifs pour Veritas Backup Exec for Windows Servers :

  http://support.veritas.com/docs/278434
  

• Correctifs pour Veritas Backup Exec for NetWare Servers :

  http://support.veritas.com/docs/278431
  

• Correctifs pour Veritas NetBackup for NetWare Media Server Option :

  http://support.veritas.com/docs/278430