VPLEX: Apache Log4shell -haavoittuvuus ei vaikuta VPLEX- eikä VPLEX-klusteritodistajaan

Apache Log4j -etäkoodin suoritushaavoittuvuus, jonka kautta hyökkääjät voivat päästä heikentämään järjestelmää, voidaan suorittaa järjestelmää vastaan, jotta voidaan tarkistaa, voiko valtuuttamatonta käyttöoikeutta tehdä haitallisen koodin suorittamista varten järjestelmissä, joiden havaitaan olevan haavoittuvaisia log4j-ongelmalle.

Apache Log4j2 2.0-beta9–2.15.0 (ei sisällä suojausversioita 2.12.2, 2.12.3 ja 2.3.1) kokoonpanoissa, lokisanomissa ja parametreissa käytettävät JNDI-ominaisuudet eivät suojaa hyökkääjän hallinnoimalta LDAP:ltä ja muilta JNDI-päätepisteiltä. Hyökkääjä, joka voi hallita loki- tai lokiviestin parametreja, voi suorittaa satunnaista LDAP-palvelimista ladattua koodia, kun viestien haun korvaus on otettu käyttöön. Log4j 2.15.0 -versiossa tämä toiminto on oletusarvoisesti poissa käytöstä. Toiminto on poistettu kokonaan versiosta 2.16.0 (yhdessä versioiden 2.12.2, 2.12.3 ja 2.3.1 kanssa). Huomioi, että tämä haavoittuvuus koskee log4j-corea eikä vaikuta log4net-, log4cxx- eikä muihin Apache Logging Services -projekteihin.

Dell EMC VPLEX GeoSynchrony 6.2.x on käytössä Apache Log4j -versiossa 1.2.17, joka ei ole altis ongelmalle eikä VPLEX-klusteritodistajalle tarvita lisätoimia. Lisäksi kaikissa versiota 6.2.x aiemmissa versioissa on käytössä log4j-versio, jota nykyinen haavoittuvuus ei koske.

Lisätietoja muista Dell EMC -tuotteista Apache log4j -haavoittuvuudesta on DSA KBA -000194414, dellin vastine Apache Log4j -etäkoodin suoritushaavoittuvuuteen (CVE-2021-44228)