[English]Veeam hat zum 14. Oktober 2025 den Patch 12.3.2.4165 für sein Produkt Veeam Backup & Replication herausgebracht. Laut Hersteller soll dieser Patch gleich mehrere Schwachstellen beseitigen. Ein Leser informierte mich aber, dass er diesen Patch von der ISO-Datei nicht installieren könne.
Maximilian hat mich in einer privaten Nachricht über einen Sicherheitspatch 12.3.2.4165 für sein Produkt Veeam Backup & Replication herausgebracht.
Veeam hat das Ganze im Support-Beitrag kb4771 dokumentiert. Betroffen von den Schwachstellen sind Veeam Backup & Replication 12, 12.1, 12.2, 12.3, 12.3.1 und 12.3.2. Der Patch schließt die folgenden Schwachstellen:
- CVE-2025-48983: Eine Schwachstelle (CVSS v3.1-Score: 9,9, kritisch) im Mount-Dienst von Veeam Backup & Replication bis Build 12.3.2.3617 (und darunter). Ermöglicht einem authentifizierten Domänenbenutzer, Remote-Code auf den Hosts der Backup-Infrastruktur auszuführen (RCE). Diese Sicherheitslücke betrifft nur Veeam Backup & Replication v12-Backup-Infrastrukturserver, die einer Domäne angehören.
- CVE-2025-48984: Eine Sicherheitslücke (CVSS v3.1-Score: 9,9, kritisch), die die Remote-Codeausführung (RCE) auf dem Backup-Server durch einen authentifizierten Domänenbenutzer ermöglicht. Diese Sicherheitslücke betrifft nur Veeam Backup & Replication v12-Backup-Server, die einer Domäne angehören. Betroffenes Produkt ist
Veeam Backup & Replication 12.3.2.3617 und alle früheren Versionen 12. - CVE-2025-48982: Diese Schwachstelle(CVSS v3.1-Score: 7,3, hoch) in Veeam Agent für Microsoft Windows ermöglicht eine lokale Rechteausweitung, wenn ein Systemadministrator dazu verleitet wird, eine schädliche Datei wiederherzustellen. Betroffenes Produkt ist Veeam Agent für Microsoft Windows 6.3.2.1205 und alle früheren Versionen 6. Nicht unterstützte Produktversionen wurden nicht getestet, sind jedoch wahrscheinlich ebenfalls betroffen und sollten als anfällig betrachtet werden.
Die Sicherheitslücke CVE-2025-48982wurde ab Veeam Agent für Microsoft Windows 6.3.2.1302 behoben. Die anderen Schwachstellen wurden mit Veeam Backup & Replication 12.3.2.4165 Patch behoben.
Lässt sich der Patch installieren?
Blog-Leser Maximilian schrieb mir dazu: "Update mit der ISO funktioniert aber nicht. Scheinbar stimmt was mit der ISO nicht – eventuell haben das auch andere. Ich müsste einen Veeam Call aufmachen." Die Frage: Ist noch jemand aus der Leserschaft betroffen?
MVP: 2013 – 2016
Ja, habe das gleiche Problem…bekommt als Option nur "Modify" angeboten und wenn ich das versuche kurz darauf den Hinweis dass "eine andere Version" schon installiert sei…habe jetzt einen Call aufgemacht aber scheint ja dann doch an der .iso Datei zu liegen.
Kann ich bestätigen, selbe Problematik.
kamen von 12.3.1.xxx
Kein Problem mit dem ISO Upgradeprozess (Server 2022)
Aber an alle: die schweren CVEs dieses Patches addressieren ohehin nur domain-joined Backupserver
Wer brav nach Empfehlungen vorgeht, hat das ohehin nicht.
Wir haben trotzdem installiert, weil wir noch 12.3.1 hatten
Soweit ich das verstanden habe betrifft es auch Umgebungen, die Server sichern, die zu einer Domäne gehören. Man hinterlegt ja nicht umsonst die AD-Credentials.
Danke, hätte ich mal vorher hier vorbeigeschaut
Versionsabgleich!
Siehe:
Informationen zum Download
Die installierte Buildnummer finden Sie im Hauptmenü (≡) der Veeam Backup & Replication Console unter Hilfe > Info.
Patch für 12.3.2
Dieser Patch, verfügbar als ISO oder EXE, ist NUR zum Patchen vorhandener Bereitstellungen von Veeam Backup & Replication 12.3.2 (Build 12.3.2.3617) vorgesehen . Für alle vorherigen Versionen, einschließlich 12.3.0 und 12.3.1, ist zum Upgrade die vollständige ISO-Datei im nächsten Abschnitt erforderlich.
Patch-ISO herunterladen
Dateiname: VeeamBackup&Replication_12.3.2.4165_20251006_patch.iso
Größe: 1.6 GB
MD5: 341FD85636D40AC143CE3EBF657D1864
SHA1: 236438FFB285CA0109DD8F62158199E73E947C39
Öffnen Sie nach dem Herunterladen der ISO-Datei die Dateieigenschaften, aktivieren Sie die Option „Entsperren" und klicken Sie auf „OK". Alternativ können Sie die Datei mit diesem Befehl entsperren:
Geht einfach in den Ordner Update oder Patch (Weiß gerade nicht genau) und installiert dann die enthaltene Datei
Wir haben die Patch Exe genutzt. Lief problemlos.
Hattest Du vorher die Autorun von der .iso versucht? Und welche Version hattest Du vorher drauf? Die 12.3.2.3617?
Ich hatte die .3617. Von der Version aus funktioniert der Patch laut Veeam.
Die ISO habe ich nicht getestet.
Du hast recht. Laut Veeam Support soll man hier die .exe runterladen:
https://www.veeam.com/kb4696#:~:text=under%C2%A0Help%20%3E%20About.-,Patch%20for%2012.3.2,-This%20patch%2C%20available
Danke, mit der funktioniert es bei uns.
Same here, hab einfach nur den Patch gemacht, nicht die komplette Installation. Lief einwandfrei.
Ebenso…liegt auf der ISO unter Patches.
Hab allerdings auch erstmal suchen müssen, bin auch gewohnt das es über Setup geht, allerdings ist es auch kein so grosser Patch das fast alles neu installiert werden muss.
Ging trotzdem nicht gerade schnell, hat ein paar mal wegen dem Backupservice gemosert weil er ihn nicht starten konnte und wollte trotzdem nach der Installation einen Neustart.
Kann ich bestätigen. Keine Installationsprobleme mit der EXE an 2x Windows Server 2019.
auf dem komplett ISO gibts den Unterordner Updates, darin liegt die Patchdatei, diese kann installiert werden.
Ja bei mir wird auch nur Modify angezeigt.
Hier auf zwei physikalischen Backupservern und einem Adminserver lief die Patch.exe ohne Probleme durch. Hat ca. Minuten gedauert.
Warum ISO? die patch-zip datei hat ca 600mb und nicht 12G.
Die ISO ist nicht sinnvoll. Wobei man genau hinschauen muss um den Link zu sehen.
Selbes Problem. Nur Modify als Auswahl. Das mit der .exe wie nk schreibt ging mir auch durch den Kopf. Teste ich morgen. Für heute reicht's ;)
Von ISO heute Mittag installiert, keine Probleme gehabt. Setup erkannte die installierte Version und bot Update an.
Ich hatte Anfangs auch das Problem.
Dann habe ich später verstanden, dass nun im Gegensatz zu früher nicht die gesamte InstallionsISO benötigt wird, sondern extra eine Update ISO bzw. alternativ eine EXE zum Download zur Verfügung gestellt wurde.
Bei mir hat das Update nur mit der EXE funktioniert.
Das ISO setup hat rumgezickt.
Update-EXEs gibt es (mindestens) seit der 12.0 immer über die jeweilige KB.
Sie funktionieren halt nur bei Anwendung auf die direkte Vorversion, nicht beim Überspringen mehrerer Stände.
Das war aber bei einem der letzten Patches auch schon so. Wenn man die aktuelle Version installiert hatte musste man nur die Patchdatei herunterladen und installieren und NICHT die ISO-Datei verwenden. Hatte man eine ältere Version (ich war zB auf einem Server eine (!) Version hinten) musste man das ISO nehmen. Es ist schon ein Unterschied, ob man ein paar hundert MB herunterladen und installieren muss oder 12,x GB (oder was das ISO inzwischen hat). Ich bin mal gespannt, wie sie das bei den Appliances in der v13 machen.
Die volle ISO hat aktuell 13,55 GB.
Die Appliances erhalten immer monatgs um 8 Uhr Updates und benötigen ggfs. anschließend einen Reboot. Ist wie beim Hardened Repository.
Ernstgemeinte Frage an alle: Für was in aller Welt werden für eine "Backup & Replication" Software 13 GB benötigt?
Weil darin auch alle Appliances für unterschiedliche Hypervisoren enthalten sind, sodass du eine offline Installation machen kannst.
Bei uns haben wir sowohl mit der .exe als auch mit der .iso das Problem dass sich die Backup-Proxies nicht aktualisieren lassen. Es kommt ein „Signature" Fehler. Ein Case bei Veeam ist erstellt.
Hab schon 2x erfolgreich erledigt.
Die Vollversion-ISO geht nicht weil es sich weiterhin um eine 12.3.2.x. ist (steht aber auch so im entsprechenden KB und im Forum).
Die Patch-ISO hat bereits bei mehr als 20 Kunden funktioniert. Diese hat gegenüber der EXE den Vorteil das endlich nicht mehr die Platte zugemüllt wird (EXE wird entpackt und anschließend die entpackten Dateien nich gelöscht). Die Iso lässt sich auch super in VMS einbinden ohne weiteren Plattenplatz zu benötigen.
Patch Exe auf 7 Servern problemlos installiert. Iso braucht man nur wenn man nicht auf der letzten Version war. Steht aber alles schön beschrieben in den Patchnotes.
Hallo
ich habe mir die Sache angesehen und komme zu folgendem Schluß – das ISO FIle ist ok und kann auch gemounted werden. Irgendwie stimmen jedoch die Versionsnummern nicht.
Laut dem Isofile soll es die Version v12.3.2_20251007 sein. Ist es aber nicht :-)
In dem Updatedirectory des ISO lässt sich der Patch V12.3.2.4164 nachdem alle Veeamservices manuell gestoppt sind, manuell installieren.
Mh, die 13.0.0.4967 ist doch ausschließlich die VSA? Da ist kein Pacth für Windows drin.
Vielleicht mal folgendes lesen.
VBR
https://www.veeam.com/kb4696
VAW
https://www.veeam.com/kb4778
Ja, aber man hat über seinen Account auch Zugriff auf die aktuellsten Versionen der jeweiligen Software. Und soweit ich mich richtig erinnere war es in der Vergangenheit immer so dass man über die "große" ISO auch Patches bzw. Updates installieren konnte.
Richtig!
Patch per EXE auf mehreren Systemen installiert. Dauert etwas (ca 5 min) lief aber sauber durch. Sogar der "optional" angekündigte Reboot wurde nicht angefordert.
Es wurden viele Komponenten (insbesondere auch die Agenten auf den physischen Clientsystemen) aktualisiert, das Backup in der Nacht lief aber sauber durch.
Im Moment ist erst mal Patchday dran (der bringt den Servern auch einen Reboot), dann mache ich ein paar Restore-Tests.
Hat hier jemand auch den Veeam Backup Enterprise Manager im Einsatz und mit der Patch .exe/iso aktualisiert?
Beim Download der Patch .exe/iso steht:
If you use Veeam Backup Enterprise Manager, start the update procedure with this component. Veeam Backup & Replication should be updated after that.
Nur gibt es kein dediziertes Update für den VBEM. Zumindest sehe ich keines.
Hi, ich stehe gerade vor demselben Problem mit dem V-ENT-Mgr. Die Iso gibt mir die Auswahl, dass ich den Enterprise Manager modifizieren kann, klicke ich darauf, meint das Setup, ich würde im nächsten Schritt das Programm deinstallieren. Keinerlei Update-Updatemöglichkeit.
Zu Hause habe ich das Veeam Update getestet, dort besitze ich allerdings keinen ENTMgr, dort musste ich ebenfalls die Patch-ISO (1,5GB) nutzen, statt der großen ISO (13GB).
Ich mache wegen des ENTMgrs ein Ticket bei Veeam auf und würde hier einfach den Ausgang noch einmal posten, sobald ich was weiß.
Grüße
Hi nochmal,
bisher habe ich das nicht getestet (derzeit keine Zeit dazu), aber der Support hat mir eine entsprechende Antwort gegeben:
"Update order:
If Veeam Backup Enterprise Manager (VBEM) is installed on a separate server, perform the update first on VBEM and then on the VBR server.
Patch installation for Enterprise Manager:
Mount the patch ISO or unzip the patch EXE.
Run setup.exe as an administrator.
If only "Modify" or "Remove" is displayed and no upgrade option appears, please check that the currently installed version is exactly 12.3.2.3617 on your VBEM.
Error stopping VeeamRESTSvc:
Manually stop the "Veeam RESTful API Service" (VeeamRESTSvc) service via services.msc before running the patch EXE.
For this step, verify that there are no jobs running and then open PowerShell as Administrator and run:
• Stop-service Veeam*"
Du kannst für den Enterprise Manager also die entsprechende Patch-ISO bzw. EXE nutzen. Achte aber auf die korrekte Version
Grüße
Das ISO-File enthält einen Unterordner namens "Updates". Darin befindet sich der Patch als EXE-Datei. Wer also die gesamte ISO anstelle des Patches heruntergeladen hat, kann sich so behelfen.
so läuft es jetzt bei uns auch durch, vielen Dank ;-)
Korrekt. Ins Update-Verzeichnis und dort die exe. Läuft.
Ich hatte zwei unterschiedliche Veeam Server, einmal einen Server mit
12.3.1.1139 > hier musste ich das große ISO mounten und einspielen, die kleine Patch.exe war hier nicht kompatibel.
Der zweite Server hatte Version
12.3.2.3617
Hier war wiederum das große ISO nicht ausführbar, wohl aber die Setup.exe.
Vielleicht hilft das jemandem?
Mit der Patch ISO auf zwei Servern installiert, lief problemlos. Man sollte aber vor dem Mounten dran denken, das "Mark of the Web" zu entfernen, da ansonsten Windows ggfls. was blockt. Gilt natürlich auch für die Patch EXE, die hat das logischerweise auch.
Und an diejenigen, die mit der Full-ISO Probleme hatten, das kein Update angeboten wurde: Veeam hat in deren R&D Forum bestätigt, das zunächst die alte 12.3.2 Full-ISO noch verlinkt war, damit konnte man logischerweise nicht updaten, weil das die gleiche Version war.
Das sollte aber inzwischen behoben sein und auf die korrekte ISO verweisen.
Stand jetzt bekommt man immer noch die gleiche Full ISO wie gestern. Weiterhin nur mit "Modify" als Auswahl.
Ich such Mal im Forum ob da schon jemand was gefragt hat wie das mit dem VBEM ist. Ansonsten mach ich nen Case auf….
Vielleicht versteh ich dich ja falsch, aber heute morgen 9:30 bekam man hier
https://www.veeam.com/kb4696#:~:text=under%C2%A0Help%20%3E%20About.-,Patch%20for%2012.3.2,-This%20patch%2C%20available
Bereits eine Patch.iso, eine Patch.exe und ein volles Iso. Solltest du bereits auf Version 12.3.2.XXX sein, nimmste den Patch, darunter die große Iso.
Übrigens noch eine Randinformation, die ich so hier noch nicht gelesen habe: Seit einigen Wochen gibt es ein neues Proxmox-Plugin, welches offiziell den Support für PVE 9 (Debian 13 trixie) bereitstellt: https://www.veeam.com/kb4775
Bestätige das es per patch .exe einwandfrei gelaufen ist!
Am 14.10 die riesige ISO geladen und von einer 12.? auf die neueste geupdatet. Keine Probleme.
Installation war erfolgreich, die Dateien am besten von der ISO in ein Temporäres schreibbares Verz. auf dem Server legen.
Sofern man vor dem mounten das "Mark of the Web" entfernt ist das unnötig. Ich hab direkt von der ISO installiert, völlig problemlos.
Durch das Patch Prozedere ergibt sich, dass der Veeam Agent for Microsoft Windows 6.3.2.1302 nicht mit aktualisiert wird. Dafür gäbe es einen privateFix, der Download ist aber nicht erreichbar. https://www.veeam.com/kb4778
Im Pfad C:\Program Files\Veeam\Veeam Distribution Service\Fixes\vaw\kb.1076569 findet sich nur die Version 6.3.2.1205
Hat hierfür schon jemand eine Lösung?
Standalone Agents oder von VBR verwaltet? Wenn von VBR verwaltet dann wird es bei einem Rescan der Protection Group automatisch verteilt.
Aber dafür muss der VBR das neue Paket zur Verteilung auch haben und das kam nicht mit.
Der Download für den o.g. Patch für den Agent geht nun aber wieder.
Das Update mit der "Update ISO" aus dem KB4696 hat bei uns ohne Probleme funktioniert.
Folgenden Hinweis hatte ich aber gestern noch nicht im KB Artikel gesehen:
After downloading the ISO, go to the file's properties, check the Unblock option, and click OK. Alternatively, unblock the file using this command:
Unblock-File -Path "C:\Path\to\File\VeeamBackup&Replication_12.3.2.4165_20251006_patch.iso"
Das Update der Veeam Agents hat beim Rescan laut Log von B&R ebenfalls funktoniert. (Siehe KB4778)
Mit der Exe statt der Iso geht es
Here is a blog post discussing the steps in-depth that helped me: https://techdirectarchive.com/2025/10/15/patch-veeam-backup-and-replication-12-3-2-3617-to-12-3-2-4165/
ja ich hätte mir der ISO auch Probleme.
ich hab dann die EXE gedownloadet, damit gab es über mehrere Serverfarmen keine Probleme.
Hallo zusammen -> Möchte Euch allen kurz Danken. Ich … habe aus Routine natürlich die ISO genommen und ein langes Gesicht gmacht…. :-) Aber joo mit der Download zur Exe lief alles wunderbar durch.. Thx to all. by by. LG Marcel