Veeam інформує своїх користувачів про дві критичні та дві середні уразливості у Veeam One, для яких уже доступні виправлення. Критичні прогалини мають значення CVSS v3 9.9 і 9.8 з 10. Тому відповідальні повинні діяти негайно.
Уразливості з кодом CVE-2023-38547 і CVE-2023-38548 описують високий рівень небезпеки у Veeam ONE. Це стосується таких версій:
- Veeam ONE 12 P20230314 (12.0.1.2591)
- Veeam ONE 11a (11.0.1.1880)
- Veeam ONE 11 (11.0.0.1379)
Дві критичні вразливості у Veeam One
Перша вразливість CVE-2023-38547 із CVSS v3.1: 9.9 у Veeam ONE дозволяє неавтентифікованому користувачеві отримати інформацію про підключення до SQL Server, яке Veeam ONE використовує для доступу до своєї бази даних конфігурації. Це може призвести до віддаленого виконання коду на сервері SQL, на якому розміщена база даних конфігурації Veeam ONE.
Друга вразливість CVE-2023-38548 з оцінкою CVSS v3.1: 9.8 у Veeam ONE дозволяє непривілейованому користувачеві, який має доступ до веб-клієнта Veeam ONE, мати можливість викрасти хеш NTLM файлу, який використовується звітністю Veeam ONE Сервіс для відновлення облікового запису.
Дві середні вразливості CVE-2023-38549 і CVE-2023-41723 мають оцінку CVSS v3.1 4.5 і 4.3 і також повинні бути виправлені. Вони мають такі вразливості: Уразливість у Veeam ONE дозволяє користувачеві з роллю досвідченого користувача Veeam ONE отримати маркер доступу користувача з роллю адміністратора Veeam ONE через XSS. Друга вразливість дозволяє користувачеві Veeam ONE з роллю користувача Veeam ONE лише для читання переглядати розклад інформаційної панелі.
Особливі примітки до випуску для Veeam Recovery Orchestrator
Veeam One є компонентом Veeam Recovery Orchestrator, раніше відомого як Veeam Disaster Recovery Orchestrator або Veeam Availability Orchestrator. Клієнти, які використовують наведені нижче версії Orchestrator, повинні встановити вбудоване виправлення збірки Veeam ONE із цієї статті.
- Veeam Recovery Orchestrator 6 P20230419 використовує Veeam ONE 12 P20230314 (Збірка 12.0.1.2591).
Примітка: Veeam Recovery Orchestrator 6 GA постачається з Veeam ONE 12.0.0.2498, яка не сумісна з цим виправленням. Перевірте, яка версія Veeam ONE встановлена; Якщо встановлено 12.0.0.2498, оновіть Veeam Recovery Orchestrator, як описано в KB4437 . - Veeam Disaster Recovery Orchestrator 5 використовує Veeam ONE 11a (Побудувати 11.0.1.1880)
- Veeam Availability Orchestrator 4 використовує Veeam ONE 11 (Побудувати 11.0.0.1379)
Про Veeam Veeam пропонує компаніям стійкість завдяки безпеці даних, відновленню даних і свободі даних для їхньої гібридної хмари. Платформа даних Veeam пропонує єдине рішення для хмарних, віртуальних, фізичних середовищ, середовищ SaaS і Kubernetes, що дає компаніям впевненість у тому, що їхні програми та дані захищені та завжди доступні для продовження роботи бізнесу.