Veam, Veeam Backup & Replication ve Veeam Agent dahil olmak üzere başta gelen çözümlerini etkileyen iki çok ciddi güvenlik açığını açıkladı.
9.5, 10 ve 11 sürümlerini etkiliyor
Kritik Veeam Backup & Replication güvenlik açıkları CVE-2022-26500, CVE–2022-26501 ile takip edilebilirken, dikkat etmeniz bazı noktalar var
- Yamayı VBR sunucusuna yüklemeniz gerekiyor. Veeam bileşenlerini çalıştıran tüm yönetilen sunucular, yamayı yükledikten sonra otomatik olarak güncellenecektir.
- Veeam Backup & Replication 11 veya 10’u yüklemeyi planlıyorsanız, düzeltmeleri içeren ISO görüntülerini kullandığınızdan emin olun. Bunlara 20220302 veya sonraki tarihli ISO görüntüleri dahildir.
- Veeam Backup & Replication 9.5 için henüz bir yama yok. Veeam, bunların desteklenen bir sürüme yükseltilmesi gerektiğini belirtiyor.
Veeam, Veeam 11a ve 10a için yamalar yayınladı:
- Veeam Backup & Replication 11a – Build 11.0.1.1261 P20220302
- Veeam Backup & Replication 10a – Build 10.0.1.4854 P20220304
Fix sürümler aşağıdaki gibi:
Mitigate (geçici çözüm) mevcut
Veeam, VBR sunucusundaki bir hizmet olan Veeam Dağıtım Hizmetini ve Koruma Gruplarında dağıtım sunucuları olarak ayrılmış tüm sunucuları durdurmanın ve devre dışı bırakmanın gerektiğini söylüyor.
Veeam Agent Güvenlik Açığı – CVE-2022-26503
Kritiklik seviyesi yüksek olan 7.8 olarak derecelendirmiş durumda.
Fix sürümler aşağıdaki gibi:
- Veeam Agent 5, build 5.0.3.4708
- Veeam Agent 4, build 4.0.2.2208
Dikkat edilecek noktalar
- Microsoft Windows için Veeam Agent’ın bağımsız sürümünü çalıştırıyorsanız (Veeam Backup & Replication tarafından yönetilmiyor), yamalı sürümün her bir Veeam Agent manuel olarak yüklenmesi gerekir.
- Veeam Agent’larınız Veeam Backup & Replication tarafından yönetiliyorsa, kümülatif Veeam Backup & Replication yamalarını yükledikten sonra Veeam Agent’larınızı Veeam Backup & Replication Console’dan yükseltebilirsiniz. İdeal olarak, yeni kritik güvenlik açıklarını gideren düzeltilmiş VBR sürümünü yükleyin ve ardından Veeam Agent’larınızı buradan yükseltin. Ayrıca, “otomatik güncelleme yedekleme aracısı” ayarı etkinleştirilmişse, agentları otomatik olarak yükseltebilirsiniz.
- v4 veya v5’ten önceki bir Veeam Agent sürümü çalıştırıyorsanız, güvenlik açığını gidermek için desteklenen bir sürüme yükseltmeniz gerekir.
Mitigate (geçici çözüm) mevcut değil!
Ne yazık ki, Veeam Backup & Replication kritik güvenlik açığında olduğu gibi Veeam Agent güvenlik açığı için de bir geçici çözüm yok. Müşterilerin, güvenlik açığını gidermek için etkilenen tüm Veeam Agent istemcilerinde Veeam Agent’ı yükseltmeye öncelik vermesi gerekir.
Fix sürümler aşağıdaki gibi:
Kaynak: virtualizationhowto.com