19/09/2024
IT-Connect » Actualités » Actu Cybersécurité » Patchez Veeam ONE pour vous protéger de 4 vulnérabilités, dont 2 critiques !

Vulnérabilités Veeam ONE - Novembre 2023
Actu Cybersécurité

Patchez Veeam ONE pour vous protéger de 4 vulnérabilités, dont 2 critiques !

Florian BURNEL 0 commentaire

La solution de supervision d'infrastructure IT Veeam ONE est affectée par plusieurs failles de sécurité, dont deux critiques. Quels sont les risques ? Voici ce qu'il faut savoir sur ces vulnérabilités.

L'éditeur Veeam a corrigé 4 failles de sécurité dans sa solution Veeam ONE :

  • CVE-2023-38547 - Faille de sécurité critique avec un score CVSS de 9.9 sur 10
  • CVE-2023-38548 - Faille de sécurité critique avec un score CVSS de 9.8 sur 10
  • CVE-2023-38549 - Faille de sécurité de niveau intermédiaire avec un score CVSS de 4.5 sur 10
  • CVE-2023-41723 - Faille de sécurité de niveau intermédiaire avec un score CVSS de 4.3 sur 10

Les deux vulnérabilités critiques

Veeam a mis en ligne un bulletin de sécurité pour apporter des précisions sur cet ensemble de vulnérabilités, y compris sur les deux failles de sécurité critiques.

Tout d'abord, la faille de sécurité CVE-2023-38547 peut être exploitée pour exécuter du code à distance sur la machine SQL Server qui héberge la base de données de Veeam ONE. "Une vulnérabilité dans Veeam ONE permet à un utilisateur non authentifié d'obtenir des informations sur la connexion au serveur SQL que Veeam ONE utilise pour accéder à sa base de données de configuration.", précise Veeam.

Quant à la faille de sécurité CVE-2023-38548, un attaquant peut l'exploiter pour récupérer le hash NTLM du compte utilisé par le Reporting Service de Veeam ONE. "Une vulnérabilité dans Veeam ONE permet à un utilisateur non privilégié ayant accès au Web Client de Veeam ONE d'acquérir le hash NTLM du compte utilisé par le Reporting Service de Veeam ONE .", précise Veeam sur son site.

Comment se protéger ?

Les versions de Veeam ONE affectées par ces failles de sécurité sont les suivantes : Veeam ONE 11, 11a, 12. À l'exception de la faille critique CVE-2023-38548 qui affecte uniquement Veeam ONE 12.

Quoi qu'il en soit, pour vous protéger, vous devez patcher votre instance Veeam ONE. L'éditeur Veeam a mis en ligne plusieurs correctifs associés aux numéros de version suivants :

  • Veeam ONE 12 P20230314 (12.0.1.2591)
  • Veeam ONE 11a (11.0.1.1880)
  • Veeam ONE 11 (11.0.0.1379)

Pour Veeam ONE 12, il est précisé : "Ce correctif n'est pas compatible avec Veeam ONE 12 GA (build 12.0.0.2498). Si Veeam ONE 12.0.0.2498 est installé, mettez à jour vers 12.0.1.2591 avant d'appliquer ce correctif."

Pour télécharger les correctifs et prendre connaissance de tous les détails, veuillez vous référer au bulletin de sécurité.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Sites WordPress - LiteSpeed Cache - Faille de sécurité CVE-2023-40000

WordPress : cette vulnérabilité dans LiteSpeed expose des millions de sites !

Florian BURNEL 0
Adresses IP malveillantes - API pour accéder à la CTI CrowdSec

Grâce à l’API CrowdSec, obtenez des informations sur les adresses IP malveillantes

Florian BURNEL 0

Tous ligués contre les menaces virales !

Florian BURNEL 1

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.