[English]Veeam warnt in einer Sicherheitsmeldung vor kritischen Schwachstellen in Veeam Backup & Replication. Angreifer könnten über diese Schwachstellen Systeme mit Linux oder Windows übernehmen. Blog-Leser der Seb hat in diesem Kommentar die Links auf die betreffenden Veeam Sicherheitswarnungen kb4288, kb4289 und kb4290 gepostet (danke dafür). In den betreffenden Supportbeiträgen sind die Updates zum Beseitigen der Schwachstellen mit Download-Links sowie weitere Hinweise zu den Sicherheitslücken zu finden.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- Infineon und Indien starten Chip-Allianz für günstige Elektronik News 16. Januar 2026
- iOS 26: So nutzen Sie den neuen Accessibility Reader News 16. Januar 2026
- Cyberkriminelle starten 2026 mit neuen Hybrid-Angriffen News 16. Januar 2026
- Google Fast Pair: Kritische Lücke macht Kopfhörer zu Wanzen News 16. Januar 2026
- Excel: Neue Funktionen IMPORTTEXT und IMPORTCSV revolutionieren Datenimport News 16. Januar 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Daniel S. bei Windows 11 23H2: Januar 2026-Update KB5073455 macht Shutdown-/Sleep-Problem
- TomCat bei Status-Update zu borncity.com und zum IT-Blog
- Andreas B. SH bei 25 Jahre Wikipedia
- Jan bei Windows 11 24H2/25H2: Citrix Director / Remote Assist funktioniert mit KB5074109 nicht mehr
- ARC4 bei AWS startet unter dem Begriff "AWS Digital Sovereignty" die "EU-Cloud"
- Martin S. bei AWS startet unter dem Begriff "AWS Digital Sovereignty" die "EU-Cloud"
- Matthias bei Patchday: Windows Server-Updates (13. Januar 2026)
- Sandra bei Windows 11 24H2/25H2: Citrix Director / Remote Assist funktioniert mit KB5074109 nicht mehr
- Günter Born bei Diskussion
- Flip bei Diskussion
- Luzifer bei Varonis legt Reprompt-Angriff auf Microsofts Copilot offen
- Olli bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- Michael Uray bei MC1197103 – Exchange Online ActiveSync v16.1 ab März 2026 erforderlich
- MBDTeam bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- Alex bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
Nur falls jemand nicht auf die Links klickt:
"Veeam Agent for Microsoft Windows" ist (war) auch betroffen und wurde gefixt.
Unter Veeam Backup & Replication 10a keine Probleme mit dem Update. Denkt bitte auch daran den Veeam Agent (Windows) aus der Kosole heraus zu aktualisieren, der hat auch einen Sicherheitspatch bekommen. Man muss die Clients ggf. einmal manuell neu scannen, damit das Update erkannt und angeboten wird.
Gruß Singlethreaded
Wenn man ein Tapelaufwerk verwendet muss man den zuständigen Agent ebenfalls von der Console aus aktualisieren wenn man nicht "Agents automatisch aktualisieren" ausgewählt hat.
Danke für diesen sinnvollen Hinweis. Für den Tape Server ist die Option "Upgrade" inaktiv, was auf einen aktuellen Stand hindeutet. Auch wurde keine neue Version im Rahmen des Updates installiert. Da der Tape-Server in den Release Notes nicht erwähnt wird, gehe ich davon aus, dass zumindest unter Veeam 10a kein Update des Tape Servers erforderlich ist.
borncity,com mutiert gerade zu einem "Kritische Schwachstellen" in XY Blog.
Da fehlt mir doch etwas die Dramaturgie :)
Das zeigt meiner Meinung nach wie kaputt Softwareentwicklung im Moment ist. Selbst in einer Umgebung überschaubarer Größe hat man quasi immer etwas zu patchen.
Für die Hinweise im Blog bin ich ehrlich gesagt sehr dankbar. Auch die Leser geben häufig wichtige Anmerkungen und Hinweise zu aktuellen Problemen mit manchen Updates.
Gruß Singlethreaded
Dem kann ich mich nur anschliessen. Danke an Alle.
Moin! Ich sehe es auch eher nützlich hier so eine kumulierte Update-Auflistung zu bekommen, man sieht ja meistens schon an den Headlines, ob man den entsprechenden Hersteller überhaupt hat, und falls ja, liest man halt weiter, ob es auch die eigenen Geräte-/Software-Instanzen sind, die gefixt werden müssen 🤗
Möchte ich so unterschreiben die Aussagen
Bin ebenfalls so dankbar wie du. Allerdings würde ich sagen, dass die Softwareentwicklung nicht erst im Moment broken ist, sondern schon sehr lange Zeit. Es ist immer nur eine Frage der Zeit, wann es einem Unternehmen auf die Füße fällt.
+1
Leider sind die Angaben zu den Vulnerabilities von Veeam etwas dünne, doch scheint es mir so, dass vernüftiges Testen und vor allem Pentests bei Veeam Fehlanzeige sind. Betrachtet man die billion $ Priese bei Veeam, ist das eher ein Grund, diesen hersteller zu meiden. Für mich ist Veeam nicht vertrauenswürdig.
Wie kommst du zu dem Schluss, dass Pentests bei Veeam nicht durchgeführt werden? Übersehen werden kann ja trotzdem immer etwas.
Wichtig ist m.E. vor allem, dass dies nach bekanntwerden schnell gefixt wird und so wie Veeam es gemacht hat, dass seine Kunden zeitnah informiert werden.
Das Update lies sich bei mir ohne Probleme einspielen.
Dank für den Hinweis an den Blogautor :).
Mal so ganz theoretisch betrachtet, wäre über die Lücke möglich, dass eine Ransomware die vmdk usw. einer vmware-Umgebung verschlüsselt?
Damit ein Restore in eine LUN des Datastores erfolgen kann, muss Veeam Schreibzugriff besitzen. Wird eine VM an ihrem ursprünglichen Ort wiederherstellt, so schaltet Veeam die laufende VM aus und überschreibt die vorhandenen Festplatten mit den Backup-Daten. Siehe hier:
https://helpcenter.veeam.com/docs/backup/vsphere/full_recovery.html?ver=110
Wurde also der Backup-Server durch die Sicherheitslücke übernommen, so wäre es denkbar, dass Inhalte im Datastore in böser Absicht mit defekten oder verschlüsselten Daten überschrieben werden könnten. Somit wäre das oben genannte Szenario aus meiner Sicht nicht völlig abwegig.
Gruß Singlethreaded
Ich habe bereits am Sonntag morgens eine Email von Veeam erhalten, dass wir updaten sollten.
Keine Probleme nach dem Update soweit.