VPLEX: VPLEX oder VPLEX Cluster Witness sind von der Apache Log4shell-Sicherheitslücke nicht betroffen.

Zusammenfassung: Dieser Artikel soll Kunden und Dell-Mitarbeiter darüber informieren, dass Dell EMC VPLEX und Cluster Witness nicht von der jüngsten Apache Log4shell-Sicherheitslücke CVE-2021-44228 betroffen sind. ...

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Symptome

Die Sicherheitslücke bei der Ausführung von Apache Log4j-Remotecode, die von böswilligen Benutzern ausgenutzt werden kann, um das betroffene System zu gefährden, kann auf einem System ausgeführt werden, um festzustellen, ob unbefugter Zugriff für den Zweck genommen werden kann, schädlichen Code auf Systemen auszuführen, die anfällig für das Log4j-Problem sind.

Ursache

JNDI-Funktionen in Apache Log4j2 2.0-beta9 bis 2.15.0 (mit Ausnahme der Sicherheitsversionen 2.12.2, 2.12.3 und 2.3.1), die in der Konfiguration, in den Protokollmeldungen und in den Parametern verwendet werden, bieten keinen Schutz gegen LDAP und andere JNDI-bezogene Endpunkte, die von Angreifern kontrolliert werden. Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Ersetzung der Meldungssuche aktiviert ist. Ab Log4j 2.15.0 wurde dieses Verhalten standardmäßig deaktiviert. Ab Version 2.16.0 (zusammen mit 2.12.2, 2.12.3 und 2.3.1) wurde diese Funktion vollständig entfernt. Beachten Sie, dass diese Schwachstelle spezifisch für Log4j-core ist und keine Auswirkungen auf log4net, log4cxx oder andere Apache Logging Services-Projekte hat.

Lösung

Dell EMC VPLEX GeoSynchrony 6.2.x wird auf Apache Log4j Version 1.2.17 ausgeführt, das für das Problem nicht anfällig ist. Es sind keine weiteren Maßnahmen für VPLEX oder den VPLEX Cluster Witness erforderlich. Außerdem wird auf allen Versionen vor Version 6.2.x eine Log4j-Version ausgeführt, die von der aktuellen Sicherheitslücke nicht betroffen ist.

Weitere Informationen

Weitere Informationen zu anderen Dell EMC Produkten im Zusammenhang mit der Sicherheitslücke in Apache Log4j finden Sie unter DSA KBA 000194414: Antwort von Dell auf Sicherheitslücke in Apache Log4j durch Remoteausführung von Code

Betroffene Produkte

VPLEX GeoSynchrony, VPLEX Series, VPLEX VS2, VPLEX VS6
Artikeleigenschaften
Artikelnummer: 000194800
Artikeltyp: Solution
Zuletzt geändert: 12 Mai 2026
Version:  6
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.