Kurze Information für Nutzer und Administratoren, die auf Veeam Backup & Replication setzen. Veeam hat zum 27. Mai 2026 Backup & Replication Version 13.0.2.29 veröffentlicht. Dieses Update schließt zwei Schwachstellen, die Clients mit Linux und mit Windows bedrohen. Zudem gibt es eine RCE-Schwachstelle in der Service Provider Console.
VEEAM Backup & Replication 13.0.2.29
Ich bin bei administrator.de auf diesen Post gestoßen, in dem Veeam Backup & Replication Version 13.0.2.29 erwähnt wurde. Veeam hat im Dokument Release Information for Veeam Backup & Replication 13 and Updates gleich zwei Schwachstellen benannt, die mit dem Sicherheitsupdate geschlossen werden.
- CVE-2026-32996 (CVSS 3.1 Score 7.3, Hoch); Eine Sicherheitslücke in Veeam Agent für Microsoft Windows ermöglicht eine lokale Rechteausweitung.
- CVE-2026-32997 (CVSS 3.1 Score 8.6, Hoch); Eine Sicherheitslücke, die es einem authentifizierten Benutzer mit der Rolle "Backup-Administrator" ermöglicht, beliebige Dateien auf einem Linux-basierten Veeam Backup & Replication-Server (Veeam Software Appliance) zu schreiben.
In diesem Sicherheitshinweis gibt Veeam an, dass die beiden Schwachstellen mit Veeam Backup & Replication 13.0.2.29 beseitigt werden. Die Release Notes weisen noch eine Reihe zusätzlicher Bug-Fixes auf.
Weitere Schwachstellen in Service Provider Console
Zudem sind mir nachfolgende Posts auf X untergekommen, die von Schwachstellen in der Veeam Service Provider Console sprechen. Veeam hat das Ganze ebenfalls zum 27. Mai 2026 in diesem KB-Artikel dokumentiert.
Bei CVE-2026-32998 handelt es sich um eine Remote Code Execution-Schwachstelle in der Veeam Service Provider Console, die mit einem CVSS 3.1-Index von 9.4 als kritisch bewertet wurde. Diese Sicherheitslücke hängt mit der Skriptausführung innerhalb von Alarmen zusammen, die in Version 9.2 standardmäßig deaktiviert ist, es sei denn, für die VSPC-Instanz sind bereits Alarme mit einer Skriptausführungsaktion konfiguriert. Wenn keine solchen Alarme vorhanden sind, ist die Sicherheitslücke nicht relevant. Betroffen sind Veeam Service Provider Console 9.2.0.33215 sowie alle früheren v9-Builds. Im KB-Artikel gibt Veeam Hinweise, wie man prüfen kann, ob die installierte Version betroffen ist. Die Schwachstelle wurde in der Veeam Service Provider Console 9.2.1 beseitigt.
MVP: 2013 – 2016
Ich frage mich warum Veeam plötzlich so viele Lücken hat. Benutze das Produkt seit der v8 und bis zur v11 war ich nie so oft am patchen wie jetzt. Kommt nur mir das so vor?
In der V13 wurde extrem viel umgebaut, damit die gleichzeitig die neue Linux Appliance rausbringen konnten und beide Varianten soweit Codeidentisch sind. Das führt dann natürlich dazu, dass da auch mehr Bugs drin sein können.
Was ich viel schlimmer finde sind die enormen Anforderungen an freiem Speicherplatz für das Upgrade, uns hat der Installer angezeigt, dass er mindestens 49GB freien Platz braucht. Die verbraucht er aber anscheinend nicht dauerhaft, sonst wäre die Platte jetzt voll.
Und das ISO selbst ist inzwischen auch auf stolze 18GB angewachsen.
Moin,
zum Aufspüren von Schwachstellen wird häufiger KI eingesetzt. Das erhöht die Erkennungsrate. Nachteil für die Hersteller: Der Druck steigt ebenfalls.
Ein Backup Programm belegt fast 50 GB, man fasst es kaum.
Mit oder Datenbank mit allen Informationen?
Der erste Schritt des Upgrades unter Windows dauerte bei mir ewig. Ich habe nur im Taskmanager sehen können, dass die PostGresql irgendetwas macht. Also Ruhe bewahren und laufen lassen. Als ich nach 2 Stunden wieder auf den Server geschaut habe war das Upgrade durch und es lief alles wie gehabt. Fehler konnte ich keine feststellen.
Installation vom Update hat nur bedingt funktioniert.
Auf meinen Hyper-V-Host werden nicht alle Module geupdatet..
Veeam Backup Transport 13.0.2.29
Veeam Hyper-V Integration 13.0.2.29
Veeam Guest Interaction Proxy Service 13.0.2.29
Veeam Installer Service 13.0.1.180 ⚠️
Veeam vPowerNFS 13.0.1.180 ⚠️
Veeam Threat Hunter 13.0.1.2067 ⚠️
Veeam Explorers Recovery Service 13.1.5.2 ⚠️
Hat noch jemand das Problem?
Ja, zumindest beim Installer Service kann ich das bestätigen.
Schmeiß die alten Version auf den Hosts weg und lasse sie auf den Hyper-V-Hosts neu installieren (Rescan + Wizzard). Das hat bei mir geholfen.
Ist es eigentlich auch bei anderen so, dass die Software nie irgendwelche Updates selbständig findet oder meldet?
Ich verwende Veeam gefühlt seit 20 Jahren (real wohl eher 15) und ich glaube ich habe es ganze zwei mal erlebt, dass der eigentlich vorhandene Updater verfügbare Updates angezeigt und sogar aktiv gemeldet hat.
Das Ding kann man daher wohl mit gutem Grund als funktional kaputt bezeichnen.
Ich nutze veeam auch seit >15 Jahren und habe Update Meldungen in veeam schon öfters bemerkt. Allerdings patche ich meistens sehr, sehr zeitnah, weshalb es auch sein kann, dass ich mitunter schneller gepatcht habe, als veeam neue Updates registriert. Unterm Strich würde ich daher die These des defekten updaters nicht unterstreichen.
Ich habe das einmal vor einiger Zeit mit Veeam geklärt.
Offensichtlich ist es so: Bei der Windows-Version musst du die Updates manuell einspielen. Automatische Updates funktionieren nur in der Appliance. das fand ich auch sehr irreführend.
In der Meldung heißt es, dass auch der Veeam Agent for Windows betroffen ist.
Ich benutze die free-Version (als Privat-Mensch) von Veeam Agent for Windows in der Version 13.0.2.1102.
Ist der auch betroffen? Updates gibt es dazu bisher keinen.