Veeam ជួសជុលចំណុចខ្សោយ RCE សំខាន់ៗជាច្រើននៅលើម៉ាស៊ីនមេបម្រុងទុក

ការអាប់ដេតសុវត្ថិភាពដ៏សំខាន់មួយត្រូវបានចេញផ្សាយសម្រាប់កម្មវិធី Backup & Replication ដើម្បីជួសជុលភាពងាយរងគ្រោះធ្ងន់ធ្ងរដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រតិបត្តិកូដពីចម្ងាយ និងបង្កើនសិទ្ធិ។

បានចេញផ្សាយនៅថ្ងៃទី 12 ខែមីនា ឆ្នាំ 2026 បំណះសុវត្ថិភាពចុងក្រោយបំផុត (Build 12.3.2.4465) គឺជាការអាប់ដេតដ៏សំខាន់សម្រាប់អ្នកគ្រប់គ្រងដែលត្រូវការធានាហេដ្ឋារចនាសម្ព័ន្ធបម្រុងទុករបស់ពួកគេពីការគំរាមកំហែងសកម្ម។

ការអនុវត្តការជួសជុលជាប្រចាំសម្រាប់កម្មវិធីបម្រុងទុក Veeam គឺជាផ្នែកសំខាន់មួយនៃសុវត្ថិភាពហេដ្ឋារចនាសម្ព័ន្ធទំនើប។

ភាពងាយរងគ្រោះធ្ងន់ធ្ងរត្រូវបានដោះស្រាយ

ការអាប់ដេតនេះដោះស្រាយភាពងាយរងគ្រោះធ្ងន់ធ្ងរចំនួនបី ដែលនីមួយៗមានពិន្ទុ CVSS 3.1 ស្ទើរតែអតិបរមា 9.9។

គុណវិបត្តិទាំងនេះបង្ហាញពីហានិភ័យសំខាន់ៗដល់បរិស្ថានបម្រុងទុកសហគ្រាស៖

CVE-2026-21666 (សំខាន់ 9.9): ភាពងាយរងគ្រោះនេះអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែនដែលបានផ្ទៀងផ្ទាត់ប្រតិបត្តិកូដពីចម្ងាយដោយបំពានដោយផ្ទាល់នៅលើម៉ាស៊ីនមេបម្រុងទុក Veeam។

CVE-2026-21667 (ធ្ងន់ធ្ងរ 9.9): ស្រដៀងគ្នាទៅនឹងកំហុសមុន បញ្ហានេះក៏អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែនដែលបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបង្កឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយ (RCE) នៅលើម៉ាស៊ីនបម្រើបម្រុងទុក ដែលអាចនាំឱ្យមានការសម្របសម្រួលប្រព័ន្ធពេញលេញ។

CVE-2026-21708 (ធ្ងន់ធ្ងរ 9.9): កំហុសធ្ងន់ធ្ងរនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមានសិទ្ធិមើលបម្រុងទុកអនុវត្ត RCE ជាអ្នកប្រើប្រាស់ PostgreSQL ខាងក្នុង ដោយផ្តល់ការគ្រប់គ្រងដោយគ្មានការអនុញ្ញាតលើដំណើរការមូលដ្ឋានទិន្នន័យ backend។

បន្ថែមពីលើកំហុស RCE ធ្ងន់ធ្ងរ Veeam បានជួសជុលភាពងាយរងគ្រោះធ្ងន់ធ្ងរពីរ ដែលទាំងពីរទទួលបានពិន្ទុ 8.8 លើមាត្រដ្ឋាន CVSS៖

CVE-2026-21668 (ខ្ពស់ 8.8): ភាពងាយរងគ្រោះរំលងការរឹតបន្តឹងនេះអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែនដែលបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរៀបចំឯកសារតាមអំពើចិត្តដែលមានទីតាំងនៅលើឃ្លាំងបម្រុងទុក ដោយប្រថុយនឹងភាពសុចរិតនៃការបម្រុងទុក។

CVE-2026-21672 (ខ្ពស់ 8.8): កំហុសក្នុងការបង្កើនសិទ្ធិក្នុងស្រុកដែលប៉ះពាល់ដល់ម៉ាស៊ីនមេ Veeam Backup & Replication ដែលមានមូលដ្ឋានលើ Windows អនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមានសិទ្ធិចូលប្រើក្នុងស្រុកមានកំណត់ក្នុងការបង្កើនសិទ្ធិប្រព័ន្ធរបស់ពួកគេ។

ការកែលម្អបច្ចេកទេស និងការជួសជុល

ក្រៅពីការបិទ CVE ដែលបានរៀបរាប់ខាងលើ build 12.3.2.4465 បានធ្វើឱ្យប្រសើរឡើងនូវសមាសធាតុស្នូលជាច្រើនដើម្បីជំរុញសុវត្ថិភាពប្រព័ន្ធទាំងមូល។

ការបិទនេះធ្វើឱ្យប្រសើរឡើងនូវ Decode-uri-component ទៅកំណែ 0.2.2, Newtonsoft.Json ទៅ 13.0.3 និង Path-to-RegExp ទៅ 1.9.0។

ការចេញផ្សាយនេះក៏ដោះស្រាយបញ្ហាប្រតិបត្តិការជាច្រើនផងដែរ។ សម្រាប់ប្រព័ន្ធដែលធ្វើបច្ចុប្បន្នភាពម៉ាស៊ីនមេហេដ្ឋារចនាសម្ព័ន្ធ RHEL ជាមួយនឹងទម្រង់ DISA STIG ដែលបានបើកដំណើរការ សោ GPG សាធារណៈដែលប្រើដើម្បីផ្ទៀងផ្ទាត់កញ្ចប់ Veeam ឥឡូវនេះនឹងត្រូវបានធ្វើបច្ចុប្បន្នភាពបានត្រឹមត្រូវ។

Veeam ណែនាំឱ្យបិទសេវាកម្ម fapolicyd ជាបណ្តោះអាសន្នក្នុងអំឡុងពេលធ្វើបច្ចុប្បន្នភាពនេះ ដើម្បីធានាបាននូវការផ្លាស់ប្តូរដោយរលូន។

លើសពីនេះ ការអាប់ដេតនេះជួសជុលកំហុស deserialization ដែលពីមុនបណ្តាលឱ្យការស្ដារធាតុ PostgreSQL ដែលចាប់ផ្តើមពី Enterprise Manager បរាជ័យ។

Veeam ណែនាំយ៉ាងមុតមាំដល់អ្នកគ្រប់គ្រងឱ្យអនុវត្តបំណះសុវត្ថិភាពភ្លាមៗ។ ដើម្បីផ្ទៀងផ្ទាត់កំណែបច្ចុប្បន្នរបស់អ្នក សូមបើកម៉ឺនុយមេរបស់ Veeam Backup & Replication Console ហើយរុករកទៅកាន់ Help បន្ទាប់មក About។

អង្គការដែលកំពុងដំណើរការកំណែ 12.3.2 (កំណែ 12.3.2.3617 ឬ 12.3.2.4165) អាចទាញយក និងអនុវត្តឯកសារបំណះឧទ្ទិសតូចជាងដែលមានជា ISO ឬ EXE។

ការដាក់ពង្រាយដែលដំណើរការកំណែចាស់ៗ ដូចជា 12.3.1 ឬមុននេះ ត្រូវតែប្រើ ISO ដំឡើងពេញលេញដើម្បីធ្វើឱ្យប្រសើរឡើងទៅកំណែ 12.3.2.4465 ដែលមានសុវត្ថិភាព។

តែងតែដោះសោឯកសារដែលបានទាញយកមុនពេលដំណើរការកម្មវិធីដំឡើង ដើម្បីការពារកំហុសប្រតិបត្តិការ។ ការចែករំលែកព័ត៌មានបច្ចេកទេសវិជ្ជាជីវៈលើបញ្ហាទាំងនេះជួយធានាថាការអាប់ដេតសំខាន់ៗទាំងនេះទៅដល់អ្នកគ្រប់គ្រងដែលត្រូវការពួកគេបំផុត។