[TLP:CLEAR] Veeam Backup opravuje 1 kritickú zraniteľnosť
Veeam opravuje zraniteľnosť v komponente Veeam Updater, ktorá je súčasťou zálohovacích systémov Veeam Backup [1]. Opravená verzia Veeam Updater pre jednotlivé produkty Veeam Backup [1]: pre Salesforce – 7.9.0.1124 pre Nutanix AHV – 9.0.0.1125 pre AWS – 9.0.0.1126 pre Microsoft Azure – 9.0.0.1128 pre Google Cloud – 9.0.0.1128 pre Oracle Linux Virtualization Manager a Red Hat Virtualization – 9.0.0.1127 Verzie produktov Veeam Backup s povolenými automatickými aktualizáciami, ktoré nie sú touto zraniteľnosťou ovplyvnené [1]: pre Nutanix AHV - 6 a vyššie pre AWS - v8 pre Microsoft Azure - v7 pre Google Cloud - v6 pre Oracle Linux Virtualization Manager and Red Hat Virtualization - 5 a vyššie Staršie verzie produktov vyžadujú manuálnu aktualizáciu komponenty Veeam Updater [1]. Ak je zálohovanie spravované prostredníctvom Veeam Backup & Replication vo verzii 12.3, nie je nutné vykonávať žiadnu manuálnu aktualizáciu. Výnimkou je Veeam Backup pre Salesforce, kde je aktuálna verzia (3.1 a staršia) stále zraniteľná a manuálnu aktualizáciu vyžaduje [1].
Neautentizovanému vzdialenému útočníkovi v pozícii man-in-the-middle je umožnené vykonávať ľubovolný kód s právami root [1].
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2025-23114 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 4. 2. 2025.
Odkazy
Za CESNET-CERTS Martin Krajči dňa 7. 2. 2025.