Multiples vulnérabilités dans les produits Veeam

Gestion du document

Référence	CERTFR-2022-AVI-242
Titre	Multiples vulnérabilités dans les produits Veeam
Date de la première version	14 mars 2022
Date de la dernière version	14 mars 2022
Source(s)	Bulletin de sécurité Veeam kb4288 du 12 mars 2022 Bulletin de sécurité Veeam kb4289 du 12 mars 2022 Bulletin de sécurité Veeam kb4290 du 12 mars 2022
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Exécution de code arbitraire à distance
Élévation de privilèges

Systèmes affectés

Veeam Backup & Replication versions 11 antérieures à 11a (build 11.0.1.1261 P20220302)
Veeam Backup & Replication versions 10 antérieures à 10a (build 10.0.1.4854 P20220304)
Veeam Agent pour Microsoft Windows versions 5 antérieures à 5 (build 5.0.3.4708)
Veeam Agent pour Microsoft Windows versions 4 antérieures à 4 (build 4.0.2.2208)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Veeam. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Veeam kb4288 du 12 mars 2022
https://www.veeam.com/kb4288
Bulletin de sécurité Veeam kb4289 du 12 mars 2022
https://www.veeam.com/kb4289
Bulletin de sécurité Veeam kb4290 du 12 mars 2022
https://www.veeam.com/kb4290
Référence CVE CVE-2022-26500
https://www.cve.org/CVERecord?id=CVE-2022-26500
Référence CVE CVE-2022-26501
https://www.cve.org/CVERecord?id=CVE-2022-26501
Référence CVE CVE-2022-26503
https://www.cve.org/CVERecord?id=CVE-2022-26503
Référence CVE CVE-2022-26504
https://www.cve.org/CVERecord?id=CVE-2022-26504

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Veeam