平素は格別のお引き立てを賜り、厚くお礼申し上げます。
Veeam社よりVeeam Backup & ReplicationとVeeam Agentで解決されたHighレベルの脆弱性に関するアナウンスがございました。
該当する機能をご利用中のお客様には脆弱性回避のためのアップデートを実施くださいますようお願いいたします。
セキュリティアラート概要
Veeam Backup & Replication
(ア) アナウンス日:2024年12月3日
(イ) Knowledge Base ID:4693
(ウ) 対象製品とバージョン:Veeam Backup & Replication 12, 12.1, 12.2
(エ) アナウンス内容: ① CVE ID:CVE-2024-40717
1. Severity:High(CVSS v3.1 Score: 8.8)
2. スクリプトが LocalSystem として実行されてしまう脆弱性
② CVE ID:CVE-2024-42451
1.Severity:High(CVSS v3.1 Score: 7.7)
2.保存されている資格情報にアクセスされてしまう脆弱性
③ CVE ID:CVE-2024-42452
1.Severity:High(CVSS v3.1 Score: 8.8)
2.ESXi ホストに昇格された権限でファイルをリモートでアップロードされてしまう脆弱性
④ CVE ID:CVE-2024-42453
1. Severity:High(CVSS v3.1 Score: 8.8)
2. 仮想インフラストラクチャホストの構成を制御および変更できてしまう脆弱性
⑤ CVE ID:CVE-2024-42455
1. Severity:High(CVSS v3.1 Score: 7.1)
2. サービスアカウント権限を使用してシステム上の任意ファイルを削除できてしまう脆弱性
⑥CVE ID:CVE-2024-42456
1. Severity:High(CVSS v3.1 Score: 8.8)
2. 特権メソッドにアクセスし、重要なサービスを制御できてしまう脆弱性
⑦CVE ID:CVE-2024-42457
1. Severity:High(CVSS v3.1 Score: 7.7)
2. 保存された資格情報を公開できてしまう脆弱性
⑧CVE ID:CVE-2024-45204
1. Severity:High(CVSS v3.1 Score: 7.7)
2. 保存された資格情報のNTLMハッシュが漏洩する可能性がある脆弱性
(オ) 対応方法 ① Veeam Backup &Replication 12.3(build 12.3.0.310)へのバージョンアップ
(カ) その他 ① 詳細につきましてはVeeam社
Knowledge Baseサイトをご覧ください。
Veeam Agent for Microsoft Windows
(ア) アナウンス日:2024年12月3日
(イ) Knowledge Base ID:4693
(ウ) 対象製品とバージョン:Veeam Agent for Microsoft Windows 6.0, 6.1, 6.2
(エ) アナウンス内容:① CVE ID:CVE-2024-45207
1. Severity:High(CVSS v3.1 Score: 7.0)
2. DLL インジェクション攻撃が発生する可能性がある脆弱性
(オ) 対応方法 ① Veeam Agent for Microsoft Windows 6.3(build 6.3.0.177)へのバージョンアップ
(カ) その他 ① 詳細につきましてはVeeam社
Knowledge Baseサイトをご覧ください。
Veeam社からのアナウンス
Veeam社では
Knowledge Baseで脆弱性に関する情報を公開しております。
情報更新時はメールで案内する機能もございますので合わせてご利用くださいますようお願いいたします
Veeam社
Knowledge Baseサイト(
https://www.veeam.com/knowledge-base.html)
Veeam社Knowledge Baseサイト
本案内の契約に関するお問い合わせ先
CTCエスピー株式会社
サービス営業部
E-mail:sphoshu@ctc-g.co.jp
お問い合わせ
CTCエスピー株式会社へのご質問等はお問い合わせフォームよりお気軽にお問い合わせください