Security Alerts

Kritische Schwachstellen in Veeam Backup & Replication, Veeam Agent for Microsoft Windows und Veeam Service Provider Console geschlossen

Der Hersteller Veeam hat am 03.12.2024 ein Update für die Produkte Veeam Backup & Replication, Veeam Agent for Microsoft Windows und Veeam Service Provider Console veröffentlicht. Die beschriebenen Schwachstellen in Veeam Backup & Replication beziehen sich auf die Fähigkeit eines authentifizierten böswilligen Benutzers mit einer eingeschränkten Rolle (Viewer/Operator), bestimmte Aktionen auszuführen, die normalerweise nur mit Administratorrechten auf dem Backup-Server möglich sind.

Klassifizierung

 

ProductCVECVSS 3.1 ScoreSeverity
Veeam Backup & ReplicationCVE-2024-407178.8High
Veeam Backup & ReplicationCVE-2024-424517.7High
Veeam Backup & ReplicationCVE-2024-424528.8High
Veeam Backup & ReplicationCVE-2024-424538.8High
Veeam Backup & ReplicationCVE-2024-424557.1High
Veeam Backup & ReplicationCVE-2024-424568.8High
Veeam Backup & ReplicationCVE-2024-424577.7High
Veeam Backup & ReplicationCVE-2024-452047.7High
Veeam Agent for Microsoft WindowsCVE-2024-452077.0High
Veeam Service Provider ConsoleCVE-2024-424489.9Critical
Veeam Service Provider ConsoleCVE-2024-424497.1High

 

Betroffene Versionen

  • Veeam Backup & Replication | 12 | 12.1 | 12.2
  • Veeam Agent for Microsoft Windows | 6.0 | 6.1 | 6.2
  • Veeam Service Provider Console | 7.x | 8.0 | 8.1

 

Workarounds

Keine.

 

Maßnahmen

Um diese Schwachstellen zu minimieren, bis der Backup-Server auf Version 12.3 aktualisiert werden kann, entfernen Sie einfach nicht vertrauenswürdige und/oder nicht benötigte Benutzer aus den Einstellungen für Benutzer und Rollen auf dem Backup-Server.

  • Überprüfen Sie alle Benutzer, denen eine Rolle in Veeam Backup & Replication zugewiesen ist.
  • Bewerten Sie für jeden Benutzer mit der Rolle "Operator" oder "Viewer" die interne Notwendigkeit, und entfernen Sie den Zugriff für Benutzer, die ihn nicht unbedingt benötigen.
  • Update Veeam Backup & Replication auf Version 12.3 (Build 12.3.0.310) bzw. den Veeam Agent for Microsoft Windows auf Version 6.3 (Build 6.3.0.177), https://www.veeam.com/kb4696

 

Wenn Sie die Service Provider Console einsetzen:

 

Quellen

 

Sie haben Fragen?