Synthese
Veeam hat in einem Sicherheitsbulletin das Vorhandensein mehrerer Schwachstellen in einigen seiner Produkte bekannt gegeben, von denen fünf den Schweregrad „kritisch“ haben.
Hinweise (aktualisiert am 20.09.2024): Ein Proof of Concept (PoC) für die Nutzung von CVE-2024-40711 ist online verfügbar.
Risiko (aktualisiert am 20.09.2024)
Geschätzte Auswirkung der Schwachstelle auf die Referenzgemeinschaft: SCHWER/ROT (79,35/100)1.
Typologie
- Authentication Bypass
- Arbitrary File Write/Read/Deletion
- Information Disclosure
- Privilege Escalation
- Security Restrictions Bypass
- Arbitrary Code Execution
Betroffene Produkte und Versionen
Veeam
- Backup & Replication
- ONE
- Service Provider Console
- Agent for Linux
- Backup for Nutanix AHV
- Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization
Schadensbegrenzungsmaßnahmen
In Übereinstimmung mit den Aussagen des Anbieters wird empfohlen, anfällige Produkte gemäß den Hinweisen im Sicherheitsbulletin im Abschnitt „Referenzen“ zu aktualisieren.
Eindeutige Schwachstellenkennungen
Nachfolgend sind die einzigen CVEs aufgeführt, die sich auf Schwachstellen mit dem Schweregrad „hoch“ und „kritisch“ beziehen:
Referenzen
1Diese Schätzung erfolgt unter Berücksichtigung verschiedener Parameter, darunter: CVSS, Verfügbarkeit von Patches/Workarounds und PoC, Verbreitung der betroffenen Software/Geräte in der Referenz-Community.
