VPLEX: VPLEX e VPLEX Cluster Witness non sono interessati dalla vulnerabilità Apache Log4shell

La vulnerabilità Apache Log4j Remote Code Execution, che può essere sfruttata da utenti malintenzionati per compromettere il sistema interessato, può essere eseguita su un sistema per verificare se sia possibile effettuare un accesso non autorizzato allo scopo di eseguire codice dannoso sui sistemi rilevati come vulnerabili al problema log4j.

Le funzioni JNDI di Apache Log4j2 da 2.0-beta9 a 2.15.0 (escluse le versioni di sicurezza 2.12.2, 2.12.3 e 2.3.1) utilizzate nella configurazione, nei messaggi dei registri e nei parametri non proteggono da LDAP controllato da un utente malintenzionato e da altri endpoint correlati a JNDI. Un utente malintenzionato in grado di controllare i messaggi dei registri o i parametri dei messaggi dei registri può eseguire codice arbitrario caricato da server LDAP quando è abilitata la sostituzione di ricerca messaggi. A partire da log4j 2.15.0, questo comportamento è stato disabilitato per impostazione predefinita. Dalla versione 2.16.0 (unitamente alle versioni 2.12.2, 2.12.3 e 2.3.1), questa funzionalità è stata completamente rimossa. Si noti che questa vulnerabilità è specifica di log4j-core e non influisce su log4net, log4cxx o altri progetti di servizi di registrazione Apache.

Dell EMC VPLEX GeoSynchrony 6.2.x viene eseguito su Apache Log4j versione 1.2.17 (non vulnerabile al problema) e non sono necessarie ulteriori azioni per VPLEX o VPLEX Cluster Witness. Inoltre, tutte le versioni precedenti alla 6.2.x eseguono una versione di log4j non interessata dalla vulnerabilità corrente.

Per ulteriori informazioni su altri prodotti Dell EMC per quanto riguarda la vulnerabilità Apache log4j, consultare l'articolo 000194414 della KB DSA Risposta di Dell alla vulnerabilità Apache Log4j Remote Code Execution (CVE-2021-44228) (in inglese).