[English]Veeam warnt in einer Sicherheitsmeldung vor kritischen Schwachstellen in Veeam Backup & Replication. Angreifer könnten über diese Schwachstellen Systeme mit Linux oder Windows übernehmen. Blog-Leser der Seb hat in diesem Kommentar die Links auf die betreffenden Veeam Sicherheitswarnungen kb4288, kb4289 und kb4290 gepostet (danke dafür). In den betreffenden Supportbeiträgen sind die Updates zum Beseitigen der Schwachstellen mit Download-Links sowie weitere Hinweise zu den Sicherheitslücken zu finden.
Anzeige
Nur falls jemand nicht auf die Links klickt:
"Veeam Agent for Microsoft Windows" ist (war) auch betroffen und wurde gefixt.
Unter Veeam Backup & Replication 10a keine Probleme mit dem Update. Denkt bitte auch daran den Veeam Agent (Windows) aus der Kosole heraus zu aktualisieren, der hat auch einen Sicherheitspatch bekommen. Man muss die Clients ggf. einmal manuell neu scannen, damit das Update erkannt und angeboten wird.
Gruß Singlethreaded
Wenn man ein Tapelaufwerk verwendet muss man den zuständigen Agent ebenfalls von der Console aus aktualisieren wenn man nicht "Agents automatisch aktualisieren" ausgewählt hat.
Danke für diesen sinnvollen Hinweis. Für den Tape Server ist die Option "Upgrade" inaktiv, was auf einen aktuellen Stand hindeutet. Auch wurde keine neue Version im Rahmen des Updates installiert. Da der Tape-Server in den Release Notes nicht erwähnt wird, gehe ich davon aus, dass zumindest unter Veeam 10a kein Update des Tape Servers erforderlich ist.
borncity,com mutiert gerade zu einem "Kritische Schwachstellen" in XY Blog.
Da fehlt mir doch etwas die Dramaturgie :)
Das zeigt meiner Meinung nach wie kaputt Softwareentwicklung im Moment ist. Selbst in einer Umgebung überschaubarer Größe hat man quasi immer etwas zu patchen.
Für die Hinweise im Blog bin ich ehrlich gesagt sehr dankbar. Auch die Leser geben häufig wichtige Anmerkungen und Hinweise zu aktuellen Problemen mit manchen Updates.
Gruß Singlethreaded
Dem kann ich mich nur anschliessen. Danke an Alle.
Moin! Ich sehe es auch eher nützlich hier so eine kumulierte Update-Auflistung zu bekommen, man sieht ja meistens schon an den Headlines, ob man den entsprechenden Hersteller überhaupt hat, und falls ja, liest man halt weiter, ob es auch die eigenen Geräte-/Software-Instanzen sind, die gefixt werden müssen 🤗
Möchte ich so unterschreiben die Aussagen
Bin ebenfalls so dankbar wie du. Allerdings würde ich sagen, dass die Softwareentwicklung nicht erst im Moment broken ist, sondern schon sehr lange Zeit. Es ist immer nur eine Frage der Zeit, wann es einem Unternehmen auf die Füße fällt.
+1
Leider sind die Angaben zu den Vulnerabilities von Veeam etwas dünne, doch scheint es mir so, dass vernüftiges Testen und vor allem Pentests bei Veeam Fehlanzeige sind. Betrachtet man die billion $ Priese bei Veeam, ist das eher ein Grund, diesen hersteller zu meiden. Für mich ist Veeam nicht vertrauenswürdig.
Wie kommst du zu dem Schluss, dass Pentests bei Veeam nicht durchgeführt werden? Übersehen werden kann ja trotzdem immer etwas.
Wichtig ist m.E. vor allem, dass dies nach bekanntwerden schnell gefixt wird und so wie Veeam es gemacht hat, dass seine Kunden zeitnah informiert werden.
Das Update lies sich bei mir ohne Probleme einspielen.
Dank für den Hinweis an den Blogautor :).
Mal so ganz theoretisch betrachtet, wäre über die Lücke möglich, dass eine Ransomware die vmdk usw. einer vmware-Umgebung verschlüsselt?
Damit ein Restore in eine LUN des Datastores erfolgen kann, muss Veeam Schreibzugriff besitzen. Wird eine VM an ihrem ursprünglichen Ort wiederherstellt, so schaltet Veeam die laufende VM aus und überschreibt die vorhandenen Festplatten mit den Backup-Daten. Siehe hier:
https://helpcenter.veeam.com/docs/backup/vsphere/full_recovery.html?ver=110
Wurde also der Backup-Server durch die Sicherheitslücke übernommen, so wäre es denkbar, dass Inhalte im Datastore in böser Absicht mit defekten oder verschlüsselten Daten überschrieben werden könnten. Somit wäre das oben genannte Szenario aus meiner Sicht nicht völlig abwegig.
Gruß Singlethreaded
Ich habe bereits am Sonntag morgens eine Email von Veeam erhalten, dass wir updaten sollten.
Keine Probleme nach dem Update soweit.