Veeam ONE: Hotfix für kritische Schwachstellen steht bereit 

B2B Cyber Security ShortNews

Beitrag teilen

Veeam informiert seine Nutzer über zwei kritische und zwei mittlere Schwachstellen in Veeam One für die bereits Patches bereitstehen. Die kritischen Lücken haben einen CVSS-v3-Wert von 9.9 und 9.8 von 10. Verantwortliche sollten daher umgehend handeln.

Die Schwachstellen mit dem Code CVE-2023-38547 und CVE-2023-38548 beschreiben eine hohe Gefahr in Veeam ONE. Betroffen sind die folgenden Versionen:

Anzeige
  • Veeam ONE 12 P20230314 (12.0.1.2591)
  • Veeam ONE 11a (11.0.1.1880)
  • Veeam ONE 11 (11.0.0.1379)

Zwei kritischen Schwachstellen in Veeam One

Die erste Schwachstelle CVE-2023-38547 mit einem CVSS v3.1: 9.9 in Veeam ONE ermöglicht es einem nicht authentifizierten Benutzer, Informationen über die SQL-Server-Verbindung zu erhalten, die Veeam ONE für den Zugriff auf seine Konfigurationsdatenbank verwendet. Dies kann zur Remote-Codeausführung auf dem SQL-Server führen, der die Veeam ONE-Konfigurationsdatenbank hostet.

Die zweite Schwachstelle CVE-2023-38548 mit dem CVSS v3.1-Score: 9.8 in Veeam ONE ermöglicht einem unprivilegierten Benutzer, der Zugriff auf den Veeam ONE Web Client hat, die Möglichkeit, den NTLM-Hash des vom Veeam ONE Reporting Service verwendeten Kontos abzurufen.

Die beiden mittleren Schwachstellen CVE-2023-38549 und CVE-2023-41723 haben einen CVSS v3.1-Score von 4.5 und 4.3 und sollten auch gepatcht werden. Sie haben folgende Lücken: Eine Schwachstelle in Veeam ONE ermöglicht es einem Benutzer mit der Rolle „Veeam ONE Power User“, über XSS das Zugriffstoken eines Benutzers mit der Rolle „Veeam ONE Administrator“ zu erhalten. Die zweite Schwachstelle ermöglicht es einem Benutzer in Veeam ONE mit der Rolle „Veeam ONE Read-Only User“, den Dashboard-Zeitplan anzuzeigen.

Besondere Versionshinweise bei Veeam Recovery Orchestrator

Veeam One ist eine Komponente von Veeam Recovery Orchestrator – früher bekannt als Veeam Disaster Recovery Orchestrator oder Veeam Availability Orchestrator. Kunden, die die folgenden Versionen von Orchestrator verwenden, sollten den Hotfix des eingebetteten Veeam ONE-Builds aus diesem Artikel installieren.

  • Veeam Recovery Orchestrator 6 P20230419 verwendet Veeam ONE 12 P20230314 (Build 12.0.1.2591).
    Hinweis:  Veeam Recovery Orchestrator 6 GA wird mit Veeam ONE 12.0.0.2498 ausgeliefert, das mit diesem Hotfix nicht kompatibel ist. Überprüfen Sie, welche Version von Veeam ONE installiert ist; Wenn 12.0.0.2498 installiert ist, aktualisieren Sie Veeam Recovery Orchestrator wie in KB4437 dokumentiert .
  • Veeam Disaster Recovery Orchestrator 5 verwendet Veeam ONE 11a (Build 11.0.1.1880)
  • Veeam Availability Orchestrator 4 verwendet Veeam ONE 11 (Build 11.0.0.1379)
Mehr bei Veeam.com

 


Über Veeam

Veeam bietet Unternehmen Ausfallsicherheit durch Datensicherheit, Datenwiederherstellung und Datenfreiheit für ihre Hybrid Cloud. Die Veeam Data Platform bietet eine einzige Lösung für Cloud-, virtuelle, physische, SaaS- und Kubernetes-Umgebungen, die Unternehmen die Gewissheit gibt, dass ihre Anwendungen und Daten geschützt und immer verfügbar sind, damit sie ihre Geschäfte weiterführen können.


 

Passende Artikel zum Thema

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Patchday bei SAP

SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft. Am schwersten wiegt eine ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

KI-Sicherheitsmemorandum in den USA

Die KI-Sicherheit steht an einem Wendepunkt. Das erste National Security Memorandum (NSM) für künstliche Intelligenz markiert einen wichtigen Meilenstein – ➡ Weiterlesen

Deutschland gibt über 10 Milliarden Euro für Cybersicherheit aus

Angesichts der zunehmenden Bedrohung durch Cyberangriffe investiert Deutschland verstärkt in IT-Sicherheit. Im laufenden Jahr steigen die entsprechenden Ausgaben um 13,8 ➡ Weiterlesen

KRITIS-Dachgesetz beschlossen

Das Bundeskabinett hat das KRITIS-Dachgesetz beschlossen. Mit ihm soll der Schutz kritischer Infrastrukturen etwa in den Bereichen Energie, Verkehr oder ➡ Weiterlesen

Cyberkriminelle stehlen Cookies

Die FBI-Abteilung Atlanta warnt die Öffentlichkeit, dass Cyberkriminelle sich Zugang zu E-Mail-Konten verschaffen, indem sie Cookies vom Computer des Opfers ➡ Weiterlesen

2025 mehr Angriffe mit KI, Quantenbedrohungen und Deepfakes

Eine Prognose für 2025 geht davon aus, dass Unternehmen zunehmend neue Technologien einführen, während KI-gesteuerte Angriffe, Quantenbedrohungen und Schwachstellen in ➡ Weiterlesen