Sårbarhet i VMware Tools

​Den 25 mars 2025 publicerade VMware en säkerhetsrådgivning, VMSA-2025-0005, som behandlar en autentiseringsförbigångssårbarhet (CVE-2025-22230) i VMware Tools för Windows. Denna sårbarhet har en CVSSv3-baspoäng på 7,8, vilket klassificeras som viktigt.​

Påverkade produkter:

  • VMware Tools versioner 11.x.x och 12.x.x som körs på Windows.​

Beskrivning av sårbarheten:

Sårbarheten beror på bristfällig åtkomstkontroll i VMware Tools för Windows. En illasinnad aktör med icke-administrativa rättigheter på en Windows-gäst-VM kan utnyttja denna brist för att utföra vissa högprivilegierade operationer inom den virtuella maskinen.​

Åtgärd:

För att åtgärda CVE-2025-22230 rekommenderas det att uppdatera till VMware Tools version 12.5.1. Denna uppdatering innehåller nödvändiga patchar för att eliminera sårbarheten. Notera att VMware Tools 12.4.6, som ingår i VMware Tools 12.5.1, adresserar problemet för Windows 32-bitars system.​

Workarounds:

Det finns inga kända workarounds för denna sårbarhet.​

Påverkade plattformar:

  • Windows: Påverkas och bör uppdateras till version 12.5.1.​
  • Linux och macOS: Påverkas inte av denna sårbarhet.​

Rekommendation:

Administratörer som hanterar VMware-miljöer bör omedelbart uppdatera VMware Tools för Windows till version 12.5.1 för att skydda sina system mot potentiella angrepp som utnyttjar denna sårbarhet.

Patch för Veeam Backup & Replication v12.3 släppt

Veeam har nyligen släppt version 12.3.1.1139 av sin Backup & Replication-programvara, vilket innebär flera viktiga uppdateringar och förbättringar. Här är en översikt av de mest betydande förändringarna:​

Säkerhetsförbättringar

En kritisk sårbarhet (CVE-2025-23120) har åtgärdats i denna uppdatering. Denna sårbarhet möjliggjorde fjärrkörning av kod för autentiserade domänanvändare på domänanslutna backup-servrar. Det är viktigt att notera att Veeam rekommenderar att backup-servrar inte är anslutna till en domän, i enlighet med deras bästa praxis för säkerhet och efterlevnad. ​

Nya funktioner och förbättringar

  • Plattformsstöd: Förberedelser för VMware vSphere 9.0 har gjorts baserat på förhandsversioner. Officiellt stöd kommer att bekräftas efter fullständig regressionstestning av den slutliga versionen. Dessutom stöder IBM Db2-plugin nu Db2 version 12.1 och SLES 12 SP5, medan SAP HANA-plugin stöder SAP HANA 2.0 SPS 08 och SLES 15 SP6 för SAP HANA på IBM Power. ​
  • Microsoft Entra ID Backup: Skydd av villkorliga åtkomstpolicyer har implementerats. Denna funktion är tillgänglig i Essentials-, Advanced- och Premium-utgåvorna. Licenskonsumtionen har också uppdaterats för att inte längre inkludera externa (gäst)användare och inaktiverade användare. ​
  • Nutanix AHV: Experimentellt stöd för skadlig kod-detektering, gästfilindexering och applikationsmedveten bearbetning har tagits bort, vilket indikerar att dessa funktioner nu är fullt stödda. ​
  • Proxmox VE: Den uppdaterade Proxmox VE-pluginen möjliggör användning av icke-root-användare för att registrera Proxmox, stöd för Open vSwitch (OVS) nätverk, Object Storage API (SOSAPI), Nested Pools för backup-jobb och ytterligare förbättringar av backup-prestanda. ​
  • VMware vSphere: Förbättringar i Instant VM Recovery-motorn möjliggör upp till fem gånger fler samtidiga återställningar: upp till 1000 virtuella maskiner per backup-server och upp till 200 virtuella maskiner per vPowerNFS-server. ​
  • Skadlig kod-detektering: Stöd för anpassad internetproxy har lagts till för att ladda ner uppdateringar till Veeam Threat Hunter-signaturer. ​
  • Objektlagring: Automatiskt hinkskapande är nu standard för ny S3-kompatibel objektlagring, och kompatibiliteten har förbättrats genom att ignorera fel orsakade av icke-standardiserade lagringsklasser. ​
  • Sekundär lagringsintegration: Stöd för Dell Data Domain DD OS versioner 8.2 och 8.3 har lagts till, och prestandaförbättringar har gjorts för Microsoft SQL Server-plugin vid skrivning till dedupliceringsenheter. ​
  • Ostrukturerad data-backup: Metadata som fångas av Amazon S3 Metadata-tjänsten inkluderas nu i objektlagringsbackuper för att säkerställa omfattande skydd av hinkdata.
  • Konfigurationsdatabas: TLS-anslutningsstöd för PostgreSQL-konfigurationsdatabasen har lagts till för förbättrad säkerhet när databasen är värd på en extern server. ​
  • E-postaviseringar: OAuth 2.0-stöd för icke-standardiserade Azure-regioner, inklusive USA:s regering, Kina och Tyskland, är nu tillgängligt för e-postaviseringar. ​
  • Installation: Den nya ISO-baserade uppdateringsdistributionen minskar stilleståndstiden genom att påskynda installationsprocessen och eliminerar behovet av extra diskutrymme på backup-servern. ​
  • Veeam Vault: Automatisk uppgradering av Veeam Vault V1 backup-repositorier (delade nycklar autentisering) till V2 (Entra ID-autentisering) har lagts till för ökad säkerhet och förbättrad användarupplevelse.
  • API: Nya REST API-funktioner inkluderar ändring av befintliga lösenordsregister, omrescan av alla typer av backup-repositorier, nedladdning av metadata för ostrukturerade databackuper och utförande av backup-radering. Nya PowerShell-funktioner inkluderar anslutning till Veeam Vaults, frågeställningar och återställning av skyddade Microsoft Entra ID-villkorliga åtkomstpolicyer.

Lösta problem

Denna uppdatering adresserar flera problem, inklusive förbättrad hantering av systemomfattande internetproxyinställningar för Veeam Threat Hunter, korrigeringar relaterade till objektlagring och förbättringar i bandfunktionalitet.