Kleiner Nachtrag von dieser Woche. Veeam, der Anbieter von Backup-Lösungen hat die Woche (7. Mai 2024) eine Sicherheitswarnung veröffentlicht. In älteren Versionen der Veeam Service Provider Console (VSPC) gibt es eine RCE-Schwachstelle (CVE-2024-29212), die mit einem CVSS v3.1 Score von 9.9 eingestuft wird. Es gibt aber Udpates für VSPC 7.x und 8.x.
Veeam hat die Warnung vor dem RCE-Schwachstelle CVE-2024-29212 zum 7. Mai 2024 im Advisory kb4575: Veeam Service Provider Console Vulnerability veröffentlicht. Das Ganze ist mir die Tage über nachfolgenden Tweet untergekommen.
Bei CVE-2024-29212 handelt es sich um eine RCE-Schwachstelle, die bei internen Tests entdeckt wurde. Aufgrund einer unsicheren Deserialisierungsmethode, die vom Veeam Service Provider Console (VSPC)-Server bei der Kommunikation zwischen dem Verwaltungsagenten und seinen Komponenten verwendet wird, ist es unter bestimmten Bedingungen möglich, Remote Code Execution (RCE) auf dem VSPC-Servercomputer durchzuführen. Sicherheitslücke wurde in den folgenden Builds der Veeam Service Provider Console behoben:
Die Schwachstelle betrifft laut Veeam aber die Veeam Service Provider Console Versionen 4.0, 5.0, 6.0, 7.0 und 8.0 – ältere Versionen, die kein Update erhalten haben, sollten auf Version 7 oder 8 aktualisiert werden.
Da kaum ein Veem-Endkunde die Service Provider Konsole einsetzt, ist die Überschrift irreführend, denn es geht nicht um das Backup Produkt veeam, sondern nur die SP-Konsole, die m. W. nicht in Veeam Backup und Replication enthalten ist, sondern ein eigener Download:
https://www.veeam.com/de/service-provider-console.html
Aber „wir“ lesen nicht nur die Überschrift, sondern auch den gesamten Text? Anders kann ich diesen Kommentar nicht interpretieren. Klar könnte ich in der Überschrift das Produkt, die betroffenen Versionen und auch noch die Randumstände, die ggf. zur Ausnutzung führen, mit angeben. Würde mich auch extrem an Text im Body des Artikels sparen. Mann, mann.
Es hätte gereicht in die Überschrift Service Provider console mit rein zu schreiben statt 95% derer für die der Artikel irrelevant ist in den Artikel reinzukommen. Das war meine Kritik. Ansonsten finde ich diesen Blog hervorragend.