Veeamは、パッチがすでに提供されているVeeam Oneの3つの重大な脆弱性と9.9つの中程度の脆弱性についてユーザーに通知しています。 重大なギャップの CVSS v9.8 値は 10 および XNUMX 段階中 XNUMX です。したがって、責任者は直ちに行動する必要があります。
コード CVE-2023-38547 および CVE-2023-38548 の脆弱性は、Veeam ONE の高レベルの危険性を示しています。 次のバージョンが影響を受けます。
- Veeam ONE 12 P20230314 (12.0.1.2591)
- Veeam ONE 11a (11.0.1.1880)
- Veeam ONE 11 (11.0.0.1379)
Veeam One の XNUMX つの重大な脆弱性
Veeam ONE の CVSS v2023: 38547 に関する最初の脆弱性 CVE-3.1-9.9 により、認証されていないユーザーが Veeam ONE が構成データベースにアクセスするために使用する SQL Server 接続に関する情報を取得できます。 これにより、Veeam ONE 構成データベースをホストする SQL サーバー上でリモート コードが実行される可能性があります。
Veeam ONE の 2023 番目の脆弱性 CVE-38548-3.1 (CVSS v9.8 スコア: XNUMX) により、Veeam ONE Web クライアントにアクセスできる権限のないユーザーが、Veeam ONE Reporting で使用されるファイルの NTLM ハッシュを盗むことができます。アカウントを取得するサービス。
2023 つの中程度の脆弱性 CVE-38549-2023 および CVE-41723-3.1 の CVSS v4.5 スコアは 4.3 および XNUMX であり、同様にパッチを適用する必要があります。 これらには次の脆弱性があります。 Veeam ONE の脆弱性により、Veeam ONE パワー ユーザー ロールを持つユーザーは XSS 経由で Veeam ONE 管理者ロールを持つユーザーのアクセス トークンを取得できます。 XNUMX 番目の脆弱性により、Veeam ONE 読み取り専用ユーザー ロールを持つ Veeam ONE のユーザーは、ダッシュボードのスケジュールを表示できます。
Veeam Recovery Orchestrator の特別リリース ノート
Veeam One は、Veeam Recovery Orchestrator (以前は Veeam Disaster Recovery Orchestrator または Veeam Availability Orchestrator と呼ばれていました) のコンポーネントです。 次のバージョンの Orchestrator を使用しているお客様は、この記事に記載されている組み込みの Veeam ONE ビルド ホットフィックスをインストールする必要があります。
- Veeam Recovery Orchestrator 6 P20230419 は Veeam ONE 12 P20230314 を使用します (ビルド12.0.1.2591)。
注: Veeam Recovery Orchestrator 6 GA には、このホットフィックスと互換性のない Veeam ONE 12.0.0.2498 が同梱されています。 インストールされている Veeam ONE のバージョンを確認します。 12.0.0.2498 がインストールされている場合、 KB4437 に記載されているように Veeam Recovery Orchestrator を更新します . - Veeam Disaster Recovery Orchestrator 5 は Veeam ONE 11a を使用します (ビルド11.0.1.1880)
- Veeam Availability Orchestrator 4 は Veeam ONE 11 を使用します (ビルド11.0.0.1379)
Veeamについて Veeam は、ハイブリッド クラウドのデータ セキュリティ、データ リカバリ、データの自由を通じて企業の回復力を提供します。 Veeam Data Platform は、クラウド、仮想、物理、SaaS、Kubernetes 環境に対応する単一のソリューションを提供し、アプリケーションとデータが保護され、常に利用可能であるという安心感を企業に与えてビジネスを継続させます。