Veeam, kullanıcılarını Veeam One'daki yamaların halihazırda mevcut olduğu iki kritik ve iki orta dereceli güvenlik açığı hakkında bilgilendiriyor. Kritik boşlukların CVSS v3 değeri 9.9 ve 9.8 üzerinden 10'dir. Bu nedenle sorumlular derhal harekete geçmelidir.
CVE-2023-38547 ve CVE-2023-38548 kodlu güvenlik açıkları Veeam ONE'daki yüksek düzeyde tehlikeyi ifade ediyor. Aşağıdaki sürümler etkilenir:
- Veeam ONE 12 P20230314 (12.0.1.2591)
- Veeam ONE 11a (11.0.1.1880)
- Veeam ONE 11 (11.0.0.1379)
Veeam One'da iki kritik güvenlik açığı
Veeam ONE'daki CVSS v2023: 38547'a sahip ilk güvenlik açığı CVE-3.1-9.9, kimliği doğrulanmamış bir kullanıcının Veeam ONE'ın yapılandırma veritabanına erişmek için kullandığı SQL Server bağlantısı hakkında bilgi edinmesine olanak tanır. Bu, Veeam ONE yapılandırma veritabanını barındıran SQL sunucusunda uzaktan kod yürütülmesine yol açabilir.
Veeam ONE'daki CVSS v2023 puanı: 38548 olan ikinci güvenlik açığı CVE-3.1-9.8, Veeam ONE Web İstemcisi'ne erişimi olan ayrıcalıksız bir kullanıcının Veeam ONE Raporlaması tarafından kullanılan dosyanın NTLM karmasını çalma yeteneğine sahip olmasına olanak tanır. Hesabı geri alma hizmeti.
İki orta dereceli güvenlik açığı CVE-2023-38549 ve CVE-2023-41723'ün CVSS v3.1 puanı 4.5 ve 4.3'tür ve ayrıca yamalanmaları gerekir. Aşağıdaki güvenlik açıklarına sahiptirler: Veeam ONE'daki bir güvenlik açığı, Veeam ONE Uzman Kullanıcı rolüne sahip bir kullanıcının, XSS aracılığıyla Veeam ONE Yönetici rolüne sahip bir kullanıcının erişim jetonunu elde etmesine olanak tanır. İkinci güvenlik açığı, Veeam ONE'da Veeam ONE Salt Okunur Kullanıcı rolüne sahip bir kullanıcının kontrol paneli programını görüntülemesine olanak tanır.
Veeam Recovery Orchestrator için özel sürüm notları
Veeam One, daha önce Veeam Disaster Recovery Orchestrator veya Veeam Availability Orchestrator olarak bilinen Veeam Recovery Orchestrator'ın bir bileşenidir. Orchestrator'ın aşağıdaki sürümlerini kullanan müşteriler bu makaledeki yerleşik Veeam ONE derleme düzeltmesini yüklemelidir.
- Veeam Recovery Orchestrator 6 P20230419, Veeam ONE 12 P20230314'ü kullanıyor (Derleme 12.0.1.2591).
Not: Veeam Recovery Orchestrator 6 GA, bu düzeltmeyle uyumlu olmayan Veeam ONE 12.0.0.2498 ile birlikte gelir. Hangi Veeam ONE sürümünün yüklü olduğunu kontrol edin; 12.0.0.2498 kuruluysa, Veeam Recovery Orchestrator'ı KB4437'de belgelendiği şekilde güncelleyin . - Veeam Disaster Recovery Orchestrator 5, Veeam ONE 11a'yı kullanıyor (11.0.1.1880 oluşturun)
- Veeam Availability Orchestrator 4, Veeam ONE 11'i kullanıyor (11.0.0.1379 oluşturun)
Veeam Hakkında Veeam, şirketlere hibrit bulutları için veri güvenliği, veri kurtarma ve veri özgürlüğü aracılığıyla dayanıklılık sunar. Veeam Veri Platformu, bulut, sanal, fiziksel, SaaS ve Kubernetes ortamları için tek bir çözüm sunarak işletmelere uygulamalarının ve verilerinin korunduğu ve işletmelerini çalışır durumda tutmak için her zaman kullanılabilir olduğu konusunda güven verir.