AVIS CERTFR - 2022 - AVI - 242

AVIS CERT
CERT-FR

Publié le 14 mars 2022 à 17h26

Objet : Multiples vulnérabilités dans les produits Veeam

Référence : CERTFR-2022-AVI-242

Risque(s)

- Exécution de code arbitraire à distance
- Élévation de privilèges

Systèmes affectés

- Veeam Backup & Replication versions 11 antérieures à 11a (build 11.0.1.1261 P20220302)
- Veeam Backup & Replication versions 10 antérieures à 10a (build 10.0.1.4854 P20220304)
- Veeam Agent pour Microsoft Windows versions 5 antérieures à 5 (build 5.0.3.4708)
- Veeam Agent pour Microsoft Windows versions 4 antérieures à 4 (build 4.0.2.2208)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Veeam. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Veeam kb4288 du 12 mars 2022

https://www.veeam.com/kb4288

- Bulletin de sécurité Veeam kb4289 du 12 mars 2022

https://www.veeam.com/kb4289

- Bulletin de sécurité Veeam kb4290 du 12 mars 2022

https://www.veeam.com/kb4290

- Référence CVE CVE-2022-26500

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26500

- Référence CVE CVE-2022-26501

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26501

- Référence CVE CVE-2022-26503

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26503

- Référence CVE CVE-2022-26504

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26504

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-242/

Qualité de la rédaction