Nutzer von Veeam Backup & Replication müssen reagieren. Der Anbieter Veeam hat zum 6. Januar 2026 Veeam Backup & Replication 13.0.1.1071 veröffentlicht. Veeam Backup & Replication 13.0.1.1071 für Windows schließt gleich mehrere Schwachstellen, die in vorherigen Versionen des V13.x-Entwicklungszweigs entdeckt wurden.
Ich bin die letzten Stunden von einem Leser auf den entsprechenden Sachverhalt hingewiesen worden (danke dafür). Der Leser hat mir Informationen, die ihm per E-Mail zugingen, an mich weitergeleitet. Im Beitrag KB4792: Vulnerabilities Resolved in Veeam Backup & Replication 13.0.1.1071 schreibt Veeam, dass alle Versionen des V13.x-Entwicklungszweigs von Veeam Backup & Replication Schwachstellen aufweisen, die mit der Version 13.0.1.1071 geschlossen wurden.
Konkret liegen in den Versionen Veeam Backup & Replication 13.0.1.180 und alle früheren Versionen der Build 13 diese Schwachstellen vor. Frühere Versionen von Veeam Backup & Replication (d. h. 12.x und älter) sind von diesen Sicherheitslücken nicht betroffen. Hier die Liste der Schwachstellen:
- CVE-2025-55125 (CVSS v3.1 Score: 7.2; Hoch): Diese in internen Tests entdeckte Sicherheitslücke, die es einem Backup- oder Tape-Operator ermöglicht, durch Erstellen einer bösartigen Backup-Konfigurationsdatei Remote-Code-Ausführung (RCE) als Root durchzuführen.
- CVE-2025-59468 (CVSS v3.1 Score: 6.7; Mittel): Diese Schwachstelle ermöglicht es einem Backup-Administrator, durch Senden eines bösartigen Passwortparameters als Postgres-Benutzer Remote-Code-Ausführung (RCE) durchzuführen.
- CVE-2025-59469 (CVSS v3.1 Score: 7.2; Hoch): Diese Sicherheitslücke ermöglicht es einem Backup- oder Bandoperator, Dateien als Root zu schreiben.
- CVE-2025-59470 (CVSS v3.1 Score: 9.0; Kritisch): Diese Schwachstelle ermöglicht es einem Backup- oder Tape-Operator, durch Senden eines bösartigen Intervall- oder Auftragsparameters eine Remote-Codeausführung (RCE) als Postgres-Benutzer durchzuführen.
Bei CVE-2025-59470 wurde der Schweregrad auf "Hoch" angepasst. Grund für die Anpassung: Die Rollen „Backup- und Bandoperator" gelten als Rollen mit hohen Berechtigungen und sollten entsprechend geschützt werden. Die Befolgung der von Veeam empfohlenen Sicherheitsrichtlinien verringert die Möglichkeit der Ausnutzung weiter. Aufgrund dieser Faktoren, die sich auf die zeitlichen und umgebungsbezogenen Vektoren von CVSS auswirken, hat Veeam seine Reaktion auf diese Sicherheitslücke angepasst, um sie an die Bewertung „Hoch" anzupassen. Die Schwachstellen werden in Veeam Backup & Replication 13.0.1.1071 beseitigt.
MVP: 2013 – 2016
Die Downloadseite bei Veeam ist ja ganz schön schwierig zu finden
Hier der Link für meine Freeversion
https://www.veeam.com/products/free/backup-recovery-download.html?ad=downloads
Der letzte Link im Text weißt direkt auf die ISO sowie die EXE. Ist das nicht ausreichend? :D
Eigentlich gibt es dafür die "Alles auf einen Blick"-Seite von Veeam:
https://www.veeam.com/products/downloads/latest-version.html
hallo @Henry
Der Link von dir ist noch übersichtlicher
eigentlich will ich meinen Server mit 3 VM´s mit der Freeversion nur sichern.
Was dabei alles für Konnektoren installiert werden ich schon der Wahnsinn.
Das Update lief jedoch problemlos
Veeam Agent for Microsoft Windows machte nun auch einen grossen Versionssprung auf 13.X
Weiß jemand ob das Update des Agents für Windows auch kritisch ist? "Interessanter" Versionssprung von 6 auf 13…
Funktioniert bei mir einwandfrei
Kurze Frage in die Runde zum EoL von Veeam 12.
Wenn ich es richtig verstehe betrifft diese Lücke ja nur Veeam 13+
Für Veeam 12 gibt es auch keinen neuen Patch.
Wie habe ich denn die Veeam Lifecycle Policy zu verstehen, nach der ja Veeam 12 seit 09/25 "End of Fix" ist und Veeam 13 erst in 11/25 erschienen ist?
https://www.veeam.com/product-lifecycle.html
Ich werd aus der Webseite nicht so richtig schlau.
Bekommt Veeam 12 noch sicherheitsrelevante Updates bis zum "End of Support" oder sind diese bereits mit "End of Fix" Geschichte?
Das frage ich mich auch. Auf der Seite steht
"When a product version reaches this stage, no further Updates, Patches or Hotfixes will be created for it (exceptions may be made on a case-by-case basis)."
Man kann nur hoffen dass Veeam noch eine Zeit lang sicherheitsrelevante Patches "case-by-case" für V12 veröffentlicht. Ich habe mich mit V13 noch nicht weiter beschäftigt aber es scheint ja doch ein recht großer Sprung zu sein, verbunden mit der Frage ob man nicht generell auf Linux als Basis umstellen möchte.
Veeam schreibt zum "End of Fix":
"When a product version reaches this stage, no further Updates, Patches or Hotfixes will be created for it (exceptions may be made on a case-by-case basis). A version that has reached End of Fix, but that has not reached End of Support is still fully supported. However, if Veeam determines that an issue you are facing is fixed in a generally available version, you will be required to update to it."
Bisher war es so, dass in diesem Status keine Fehlerbehebung mehr stattfindet, es kann aber Ausnahmen geben. Sicherheitsupdates wurden in der Vergangenheit aber noch geliefert. Das mit den Bugfixes ist bei "gut abgehangenen" Versionen meist auch nicht so dramatisch.
Die V13 ist ja auch noch recht neu und es geht mehr in Richtung Appliance. Einen klassischen Windows Server wird man in Zukunft wohl nicht mehr dafür verwenden. Bei Windows Servern gab es auch noch Unterschiede in der Datenbank, da Microsoft SQL Server und später PostgreSQL eingesetzt wurde.
Nach meinen aktuellen Infostand sind noch gar nicht alle Migrationspfade definiert, um z.B. von einem Windows Server mit MS-SQL in die Appliance zu migrieren.
Die Appliance macht auf jeden Fall Sinn. Diese kann in Default besser gehärtet sein. Auch können manche Fehler wie "Backupserver ist Member in der Domäne" nicht mehr auftreten. Veeam bietet zwar Skripte und Tools um auch Windows Server einigermaßen zu vernageln, aber da ist immer das Problem, dass dies nicht "Security by default" ist und diese Punkte oft einfach nicht durchgezogen werden.
Wichtig zu beachten: Die Appliance und die neue Web Based Konsole sind nicht teil der Free Lizenz.
Wir haben relativ problemlos auf v13 aktualisiert. Die Konsole ist jetzt "aufgehübscht" aber ansonsten wird ein erfahrener VEEAM-Admin sich schnell zurecht finden.
Daher spricht mMn nichts gegen ein wohlgeplantes Inplace-Upgrade auf einem vorhandenen Windows Blech.
Migration der Konfiguration auf eine Appliance ist ja immer noch ein weiterer, optionaler, späterer Schritt.
Von QNAP gab es ja die Tage auch ne Meldung zu gefixten Lücken (siehe https://www.heise.de/news/Sicherheitsupdates-Verschiedene-Attacken-auf-Qnap-NAS-moeglich-11129647.html).
Heute sind dann aber schon wieder neue Sicherheitsupdates raus gekommen (die aber nicht die im obigen Artikel erwähnten Lücken fixen, sondern neue, noch nicht näher bekannte).
Die in den QNAP Security Advisories genannten Sicherheitslücken sind alle schon deutlich älter, die entsprechenden Updates sollten also eigentlich alle längst installiert sein. Die Lücken aus QSA-25-51 vom 03.01.2026 sind z. B. bereits mit Release QTS 5.2.8.3332 vom 08.12.2025 bzw. QuTS hero h5.2.8.3321 vom 25.11.2025 gefixt worden. QNAP veröffentlicht die Details zu den Lücken halt immer erst mit deutlicher Verzögerung… Inhaltlich im Ansatz nachvollziehbar, aber immer wieder für Verwirrung gut.