Veeam Schwachstelle CVE-2024-29212 (Mai 2024)

Sicherheit (Pexels, allgemeine Nutzung)Kleiner Nachtrag von dieser Woche. Veeam, der Anbieter von Backup-Lösungen hat die Woche (7. Mai 2024) eine Sicherheitswarnung veröffentlicht. In älteren Versionen der Veeam Service Provider Console (VSPC) gibt es eine RCE-Schwachstelle (CVE-2024-29212), die mit einem CVSS v3.1 Score von 9.9 eingestuft wird. Es gibt aber Udpates für VSPC 7.x und 8.x.


Anzeige

Veeam hat die Warnung vor dem RCE-Schwachstelle CVE-2024-29212 zum 7. Mai 2024 im Advisory kb4575: Veeam Service Provider Console Vulnerability veröffentlicht. Das Ganze ist mir die Tage über nachfolgenden Tweet untergekommen.

Bei CVE-2024-29212 handelt es sich um eine RCE-Schwachstelle, die bei internen Tests entdeckt wurde. Aufgrund einer unsicheren Deserialisierungsmethode, die vom Veeam Service Provider Console (VSPC)-Server bei der Kommunikation zwischen dem Verwaltungsagenten und seinen Komponenten verwendet wird, ist es unter bestimmten Bedingungen möglich, Remote Code Execution (RCE) auf dem VSPC-Servercomputer durchzuführen. Sicherheitslücke wurde in den folgenden Builds der Veeam Service Provider Console behoben:

Die Schwachstelle betrifft laut Veeam aber die Veeam Service Provider Console Versionen 4.0, 5.0, 6.0, 7.0 und 8.0 – ältere Versionen, die kein Update erhalten haben, sollten auf Version 7 oder 8 aktualisiert werden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Backup, Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Veeam Schwachstelle CVE-2024-29212 (Mai 2024)

  1. Pat sagt:

    Da kaum ein Veem-Endkunde die Service Provider Konsole einsetzt, ist die Überschrift irreführend, denn es geht nicht um das Backup Produkt veeam, sondern nur die SP-Konsole, die m. W. nicht in Veeam Backup und Replication enthalten ist, sondern ein eigener Download:

    https://www.veeam.com/de/service-provider-console.html

    • Günter Born sagt:

      Aber "wir" lesen nicht nur die Überschrift, sondern auch den gesamten Text? Anders kann ich diesen Kommentar nicht interpretieren. Klar könnte ich in der Überschrift das Produkt, die betroffenen Versionen und auch noch die Randumstände, die ggf. zur Ausnutzung führen, mit angeben. Würde mich auch extrem an Text im Body des Artikels sparen. Mann, mann.

      • Pat sagt:

        Es hätte gereicht in die Überschrift Service Provider console mit rein zu schreiben statt 95% derer für die der Artikel irrelevant ist in den Artikel reinzukommen. Das war meine Kritik. Ansonsten finde ich diesen Blog hervorragend.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.