Zwei Sicherheitslücken in Veeam Service Provider Console
- Warnmeldung
Die CSBW warnt vor zwei Schwachstellen in der Software Veeam Service Provider Console (VSPC). Der Hersteller Veeam stellt einen Patch und eine abgesicherte Version zur Verfügung.
© Adobe Stock
Neuste Version behebt Lücken
Das Unternehmen Veeam publizierte am 3. Dezember 2024 eine Sicherheitsmeldung zu den Sicherheitslücken CVE-2024-42448 und CVE-2024-42449 in seiner Software VSPC. VSPC ist eine Plattform zur Datensicherung.
- CVE-2024-42448 hat einen CVSS-Score von 9.9/10 und ermöglicht Angreifenden Remote Code Execution (RCE).
- CVE-2024-42449 hat einen CVSS-Score von 7.1/10 und erlaubt Angreifenden, NTLM-Hashes zu erbeuten und Dateien auf VSPC-Servern zu löschen.
Betroffene Versionen:
- 8.1.0.21377
- Frühere 7er- und 8er-Versionen
- Nicht mehr unterstützte Versionen sollten ebenfalls als betroffen betrachtet werden, wurden allerdings nicht getestet.
Veeam stellt sowohl einen Patch für die VSPC-Versionen 7 und 8 als auch die abgesicherte Version 8.1.0.21999 bereit.
Empfehlungen von Veeam
- Installieren Sie umgehend den Fix für die VSPC-Versionen 7 und 8.
- Aktualisieren Sie Ihre VSPC-Version, auch nach Installation des Patches, zeitnah auf die Version 8.1.0.21999.