VPLEX: Luka w zabezpieczeniach narzędzia Apache Log4shell nie dotyczy rozwiązania VPLEX oraz monitora klastra VPLEX

Summary: Ten artykuł ma na celu poinformowanie klientów i pracowników firmy Dell, że niedawna luka w zabezpieczeniach narzędzia Apache Log4shell CVE-2021-44228 nie wpływa na rozwiązanie Dell EMC VPLEX i monitor klastra. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Luka w zabezpieczeniach narzędzia Apache Log4j umożliwiająca zdalne wykonanie kodu może zostać wykorzystana przez osoby atakujące w celu naruszenia bezpieczeństwa narażonego systemu. Wykorzystanie luki może oznaczać uzyskanie przez osoby atakujące nieuprawnionego dostępu, co umożliwia wykonanie spreparowanego kodu w celu ataku podatnego systemu.

Cause

Funkcje JNDI narzędzia Apache Log4j w wersjach od 2.2.0-beta9 do 2.15.0 (z wyłączeniem wersji zabezpieczeń 2.12.2, 2.12.3 i 2.3.1) używane w konfiguracji, komunikatach dziennika i parametrach nie chronią przed LDAP przejętym przez osoby atakujące i innymi punktami końcowymi powiązanymi z JNDI. Osoba atakująca, która może sterować komunikatami dziennika lub parametrami komunikatów dziennika, może wykonać dowolny kod załadowany z serwerów LDAP, gdy włączona jest zamiana wyszukiwania komunikatów. W log4j w wersji 2.15.0 to zachowanie zostało domyślnie wyłączone. Od wersji 2.16.0 (wraz z 2.12.2, 2.12.3 i 2.3.1) ta funkcja została całkowicie usunięta. Należy pamiętać, że ta luka jest specyficzna dla log4j-core i nie dotyczy log4net, log4cxx i innych projektów Apache Logging Services.

Resolution

Oprogramowanie Dell EMC VPLEX GeoSynchrony 6.2.x działa z narzędziem Apache Log4j w wersji 1.2.17, które nie jest objęte luką, i nie są wymagane żadne dalsze działania dla rozwiązania VPLEX lub monitora klastra VPLEX. Wszystkie wersje wcześniejsze niż 6.2.x również mają log4j w wersji, w której ta luka nie jest obecna.

Additional Information

Więcej informacji na temat innych produktów Dell EMC powiązanych z luką w zabezpieczeniach narzędzia Apache log4j można znaleźć w artykule DSA KBA 000194414 Działania firmy Dell dotyczące luki w zabezpieczeniach wykonania kodu zdalnego Apache Log4j (CVE-2021-44228)

Affected Products

VPLEX GeoSynchrony, VPLEX Series, VPLEX VS2, VPLEX VS6
Article Properties
Article Number: 000194800
Article Type: Solution
Last Modified: 11 Jun 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.