VPLEX: VPLEX oder VPLEX Cluster Witness sind von der Apache Log4shell-Sicherheitslücke nicht betroffen.

Summary: Dieser Artikel soll Kunden und Dell-Mitarbeiter darüber informieren, dass Dell EMC VPLEX und Cluster Witness nicht von der jüngsten Apache Log4shell-Sicherheitslücke CVE-2021-44228 betroffen sind. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Die Sicherheitslücke bei der Ausführung von Apache Log4j-Remotecode, die von böswilligen Benutzern ausgenutzt werden kann, um das betroffene System zu gefährden, kann auf einem System ausgeführt werden, um festzustellen, ob unbefugter Zugriff für den Zweck genommen werden kann, schädlichen Code auf Systemen auszuführen, die anfällig für das Log4j-Problem sind.

Cause

JNDI-Funktionen in Apache Log4j2 2.0-beta9 bis 2.15.0 (mit Ausnahme der Sicherheitsversionen 2.12.2, 2.12.3 und 2.3.1), die in der Konfiguration, in den Protokollmeldungen und in den Parametern verwendet werden, bieten keinen Schutz gegen LDAP und andere JNDI-bezogene Endpunkte, die von Angreifern kontrolliert werden. Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Ersetzung der Meldungssuche aktiviert ist. Ab Log4j 2.15.0 wurde dieses Verhalten standardmäßig deaktiviert. Ab Version 2.16.0 (zusammen mit 2.12.2, 2.12.3 und 2.3.1) wurde diese Funktion vollständig entfernt. Beachten Sie, dass diese Schwachstelle spezifisch für Log4j-core ist und keine Auswirkungen auf log4net, log4cxx oder andere Apache Logging Services-Projekte hat.

Resolution

Dell EMC VPLEX GeoSynchrony 6.2.x wird auf Apache Log4j Version 1.2.17 ausgeführt, das für das Problem nicht anfällig ist. Es sind keine weiteren Maßnahmen für VPLEX oder den VPLEX Cluster Witness erforderlich. Außerdem wird auf allen Versionen vor Version 6.2.x eine Log4j-Version ausgeführt, die von der aktuellen Sicherheitslücke nicht betroffen ist.

Additional Information

Weitere Informationen zu anderen Dell EMC Produkten im Zusammenhang mit der Sicherheitslücke in Apache Log4j finden Sie unter DSA KBA 000194414: Antwort von Dell auf Sicherheitslücke in Apache Log4j durch Remoteausführung von Code

Affected Products

VPLEX GeoSynchrony, VPLEX Series, VPLEX VS2, VPLEX VS6
Article Properties
Article Number: 000194800
Article Type: Solution
Last Modified: 11 Jun 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.