Veeam informiert seine Nutzer über zwei kritische und zwei mittlere Schwachstellen in Veeam One für die bereits Patches bereitstehen. Die kritischen Lücken haben einen CVSS-v3-Wert von 9.9 und 9.8 von 10. Verantwortliche sollten daher umgehend handeln.
Die Schwachstellen mit dem Code CVE-2023-38547 und CVE-2023-38548 beschreiben eine hohe Gefahr in Veeam ONE. Betroffen sind die folgenden Versionen:
- Veeam ONE 12 P20230314 (12.0.1.2591)
- Veeam ONE 11a (11.0.1.1880)
- Veeam ONE 11 (11.0.0.1379)
Zwei kritischen Schwachstellen in Veeam One
Die erste Schwachstelle CVE-2023-38547 mit einem CVSS v3.1: 9.9 in Veeam ONE ermöglicht es einem nicht authentifizierten Benutzer, Informationen über die SQL-Server-Verbindung zu erhalten, die Veeam ONE für den Zugriff auf seine Konfigurationsdatenbank verwendet. Dies kann zur Remote-Codeausführung auf dem SQL-Server führen, der die Veeam ONE-Konfigurationsdatenbank hostet.
Die zweite Schwachstelle CVE-2023-38548 mit dem CVSS v3.1-Score: 9.8 in Veeam ONE ermöglicht einem unprivilegierten Benutzer, der Zugriff auf den Veeam ONE Web Client hat, die Möglichkeit, den NTLM-Hash des vom Veeam ONE Reporting Service verwendeten Kontos abzurufen.
Die beiden mittleren Schwachstellen CVE-2023-38549 und CVE-2023-41723 haben einen CVSS v3.1-Score von 4.5 und 4.3 und sollten auch gepatcht werden. Sie haben folgende Lücken: Eine Schwachstelle in Veeam ONE ermöglicht es einem Benutzer mit der Rolle „Veeam ONE Power User“, über XSS das Zugriffstoken eines Benutzers mit der Rolle „Veeam ONE Administrator“ zu erhalten. Die zweite Schwachstelle ermöglicht es einem Benutzer in Veeam ONE mit der Rolle „Veeam ONE Read-Only User“, den Dashboard-Zeitplan anzuzeigen.
Besondere Versionshinweise bei Veeam Recovery Orchestrator
Veeam One ist eine Komponente von Veeam Recovery Orchestrator – früher bekannt als Veeam Disaster Recovery Orchestrator oder Veeam Availability Orchestrator. Kunden, die die folgenden Versionen von Orchestrator verwenden, sollten den Hotfix des eingebetteten Veeam ONE-Builds aus diesem Artikel installieren.
- Veeam Recovery Orchestrator 6 P20230419 verwendet Veeam ONE 12 P20230314 (Build 12.0.1.2591).
Hinweis: Veeam Recovery Orchestrator 6 GA wird mit Veeam ONE 12.0.0.2498 ausgeliefert, das mit diesem Hotfix nicht kompatibel ist. Überprüfen Sie, welche Version von Veeam ONE installiert ist; Wenn 12.0.0.2498 installiert ist, aktualisieren Sie Veeam Recovery Orchestrator wie in KB4437 dokumentiert . - Veeam Disaster Recovery Orchestrator 5 verwendet Veeam ONE 11a (Build 11.0.1.1880)
- Veeam Availability Orchestrator 4 verwendet Veeam ONE 11 (Build 11.0.0.1379)
Über Veeam Veeam bietet Unternehmen Ausfallsicherheit durch Datensicherheit, Datenwiederherstellung und Datenfreiheit für ihre Hybrid Cloud. Die Veeam Data Platform bietet eine einzige Lösung für Cloud-, virtuelle, physische, SaaS- und Kubernetes-Umgebungen, die Unternehmen die Gewissheit gibt, dass ihre Anwendungen und Daten geschützt und immer verfügbar sind, damit sie ihre Geschäfte weiterführen können.