-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Veeam Backup & Replication
Advisory ID : NCSC-2024-0463
Versie : 1.00
Kans : medium
CVE ID : CVE-2024-40717, CVE-2024-42451, CVE-2024-42452,
CVE-2024-42453, CVE-2024-42455, CVE-2024-42456,
CVE-2024-42457, CVE-2024-45204
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Incorrect Authorization
Missing Authentication for Critical Function
Deserialization of Untrusted Data
Cleartext Storage of Sensitive Information
CWE-275
Improper Certificate Validation
Insufficiently Protected Credentials
Missing Authorization
Uitgiftedatum : 20241206
Toepassing : veeam agent
veeam backup___replication
veeam backup_and_replication
veeam veeam_backup_\&_replication
Versie(s) :
Platform(s) :
Beschrijving
Veeam heeft kwetsbaarheden verholpen in Veeam Backup & Replication.
De kwetsbaarheden in Veeam Backup & Replication stellen
laaggeprivilegieerde gebruikers in staat om op afstand code uit te
voeren, opgeslagen referenties in platte tekst te extraheren, een
agent in servermodus te starten, configuraties binnen de virtuele
infrastructuur te manipuleren, en kritieke configuratie-instellingen
te exploiteren. Dit kan leiden tot ongeautoriseerde toegang tot
gevoelige systemen en gegevens, privilege-escalatie, en zelfs
gegevensverlies. De ernst van deze kwetsbaarheden vereist een
zorgvuldige beoordeling van gebruikersrechten en
configuratiebeheerpraktijken door organisaties die deze software
gebruiken.
Mogelijke oplossingen
Veeam heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
Zie bijgevoegde referenties voor meer informatie.
Referenties:
Reference - certbundde; cveprojectv5; nvd
https://www.veeam.com/kb4693
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=NjWZ
-----END PGP SIGNATURE-----
