VPLEX. VPLEX и VPLEX Cluster Witness не подвержены уязвимости Apache Log4shell

Уязвимость Apache Log4j, делающая возможным удаленное выполнение кода, которая может быть использована злоумышленниками для взлома уязвимой системы, может быть запущена в системе с целью обнаружения возможности несанкционированного доступа для злонамеренного выполнения вредоносного кода в системах, которые могут быть уязвимы к проблеме log4j.

Apache Log4j2 2.0-beta9 до версии 2.15.0 (за исключением выпусков обновлений безопасности 2.12.2, 2.12.3 и 2.3.1): функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от управляемых злоумышленником LDAP и других конечных точек, связанных с JNDI. Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена замена поиска сообщений. В версии Log4j 2.15.0 это поведение было отключено по умолчанию. Начиная с версии 2.16.0 (включая 2.12.2, 2.12.3 и 2.3.1), эта функция была полностью удалена. Обратите внимание, что эта уязвимость характерна для log4j-core и не влияет на log4net, log4cxx и другие проекты Apache Logging Services.

Dell EMC VPLEX GeoSynchrony 6.2.x работает на платформе Apache Log4j версии 1.2.17, которая не подвержена уязвимости, и никаких дальнейших действий для VPLEX или VPLEX Cluster Witness не требуется. Кроме того, все версии, предшествующие 6.2.x, используют версию Log4j, не подверженную данной уязвимости.

Для получения дополнительной информации о других продуктах Dell EMC в отношении уязвимости Apache Log4j см. DSA KBA 000194414, ответ Dell на уязвимость Apache Log4j, делающую возможным удаленное выполнение кода (CVE-2021-44228)