[English]Veeam warnt in einer Sicherheitsmeldung vor kritischen Schwachstellen in Veeam Backup & Replication. Angreifer könnten über diese Schwachstellen Systeme mit Linux oder Windows übernehmen. Blog-Leser der Seb hat in diesem Kommentar die Links auf die betreffenden Veeam Sicherheitswarnungen kb4288, kb4289 und kb4290 gepostet (danke dafür). In den betreffenden Supportbeiträgen sind die Updates zum Beseitigen der Schwachstellen mit Download-Links sowie weitere Hinweise zu den Sicherheitslücken zu finden.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- iOS 27: Apple integriert KI-Passwort-Reparatur und RCS 2.7 News 27. Juni 2026
- MacBook Pro M5: Apple hebt Preise um bis zu 33 Prozent an News 27. Juni 2026
- GitHub Copilot Desktop: Neue KI-App für macOS, Windows, Linux News 27. Juni 2026
- I Love Notepad: Microsoft Store erhält neue Notiz-App ab heute News 27. Juni 2026
- Smartphone-Hitze: Batterien streiken bei über 35 Grad Celsius News 27. Juni 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Micha zu Windows 10: Microsoft verlängert kostenloses ESU bis Oktober 2027
- Kassandra zu EU droht Amazon und Microsoft DMA-Einstufung als Cloud-Gatekeeper an
- peter0815 zu Windows 11: Point-in-time Restore allgemein verfügbar
- Visitator zu Data Loss Prevention: Shadow AI als großes Risiko
- R.S. zu Kompendium-Artikel mit Infos und Tricks?
- Luzifer zu Kompendium-Artikel mit Infos und Tricks?
- R.S. zu Kompendium-Artikel mit Infos und Tricks?
- Visitator zu EU droht Amazon und Microsoft DMA-Einstufung als Cloud-Gatekeeper an
- User007 zu Windows 10: Microsoft verlängert kostenloses ESU bis Oktober 2027
- Andy (007 aus Wien) zu Windows 11: Point-in-time Restore allgemein verfügbar
- Mark Heitbrink zu Kompendium-Artikel mit Infos und Tricks?
- Martin B zu Data Loss Prevention: Shadow AI als großes Risiko
- Martin B zu Data Loss Prevention: Shadow AI als großes Risiko
- Stefan Kanthak zu Windows 10: Microsoft verlängert kostenloses ESU bis Oktober 2027
- Micha zu Windows 10: Microsoft verlängert kostenloses ESU bis Oktober 2027
Nur falls jemand nicht auf die Links klickt:
"Veeam Agent for Microsoft Windows" ist (war) auch betroffen und wurde gefixt.
Unter Veeam Backup & Replication 10a keine Probleme mit dem Update. Denkt bitte auch daran den Veeam Agent (Windows) aus der Kosole heraus zu aktualisieren, der hat auch einen Sicherheitspatch bekommen. Man muss die Clients ggf. einmal manuell neu scannen, damit das Update erkannt und angeboten wird.
Gruß Singlethreaded
Wenn man ein Tapelaufwerk verwendet muss man den zuständigen Agent ebenfalls von der Console aus aktualisieren wenn man nicht "Agents automatisch aktualisieren" ausgewählt hat.
Danke für diesen sinnvollen Hinweis. Für den Tape Server ist die Option "Upgrade" inaktiv, was auf einen aktuellen Stand hindeutet. Auch wurde keine neue Version im Rahmen des Updates installiert. Da der Tape-Server in den Release Notes nicht erwähnt wird, gehe ich davon aus, dass zumindest unter Veeam 10a kein Update des Tape Servers erforderlich ist.
borncity,com mutiert gerade zu einem "Kritische Schwachstellen" in XY Blog.
Da fehlt mir doch etwas die Dramaturgie :)
Das zeigt meiner Meinung nach wie kaputt Softwareentwicklung im Moment ist. Selbst in einer Umgebung überschaubarer Größe hat man quasi immer etwas zu patchen.
Für die Hinweise im Blog bin ich ehrlich gesagt sehr dankbar. Auch die Leser geben häufig wichtige Anmerkungen und Hinweise zu aktuellen Problemen mit manchen Updates.
Gruß Singlethreaded
Dem kann ich mich nur anschliessen. Danke an Alle.
Moin! Ich sehe es auch eher nützlich hier so eine kumulierte Update-Auflistung zu bekommen, man sieht ja meistens schon an den Headlines, ob man den entsprechenden Hersteller überhaupt hat, und falls ja, liest man halt weiter, ob es auch die eigenen Geräte-/Software-Instanzen sind, die gefixt werden müssen 🤗
Möchte ich so unterschreiben die Aussagen
Bin ebenfalls so dankbar wie du. Allerdings würde ich sagen, dass die Softwareentwicklung nicht erst im Moment broken ist, sondern schon sehr lange Zeit. Es ist immer nur eine Frage der Zeit, wann es einem Unternehmen auf die Füße fällt.
+1
Leider sind die Angaben zu den Vulnerabilities von Veeam etwas dünne, doch scheint es mir so, dass vernüftiges Testen und vor allem Pentests bei Veeam Fehlanzeige sind. Betrachtet man die billion $ Priese bei Veeam, ist das eher ein Grund, diesen hersteller zu meiden. Für mich ist Veeam nicht vertrauenswürdig.
Wie kommst du zu dem Schluss, dass Pentests bei Veeam nicht durchgeführt werden? Übersehen werden kann ja trotzdem immer etwas.
Wichtig ist m.E. vor allem, dass dies nach bekanntwerden schnell gefixt wird und so wie Veeam es gemacht hat, dass seine Kunden zeitnah informiert werden.
Das Update lies sich bei mir ohne Probleme einspielen.
Dank für den Hinweis an den Blogautor :).
Mal so ganz theoretisch betrachtet, wäre über die Lücke möglich, dass eine Ransomware die vmdk usw. einer vmware-Umgebung verschlüsselt?
Damit ein Restore in eine LUN des Datastores erfolgen kann, muss Veeam Schreibzugriff besitzen. Wird eine VM an ihrem ursprünglichen Ort wiederherstellt, so schaltet Veeam die laufende VM aus und überschreibt die vorhandenen Festplatten mit den Backup-Daten. Siehe hier:
https://helpcenter.veeam.com/docs/backup/vsphere/full_recovery.html?ver=110
Wurde also der Backup-Server durch die Sicherheitslücke übernommen, so wäre es denkbar, dass Inhalte im Datastore in böser Absicht mit defekten oder verschlüsselten Daten überschrieben werden könnten. Somit wäre das oben genannte Szenario aus meiner Sicht nicht völlig abwegig.
Gruß Singlethreaded
Ich habe bereits am Sonntag morgens eine Email von Veeam erhalten, dass wir updaten sollten.
Keine Probleme nach dem Update soweit.