ВПЛЕКС: VPLEX, ні VPLEX Cluster Witness не постраждали від уразливості Apache Log4shell

Уразливість віддаленого виконання коду Apache Log4j, яка може бути використана зловмисниками для компрометації ураженої системи, може бути запущена проти системи, щоб перевірити, чи може бути здійснений несанкціонований доступ з метою зловмисного виконання шкідливого коду в системах, які виявляються вразливими до проблеми log4j.

Функції JNDI Apache Log4j2 від 2.0-beta9 до 2.15.0 (за винятком релізів безпеки 2.12.2, 2.12.3 і 2.3.1), які використовуються в конфігурації, повідомленнях журналу та параметрах, не захищають від контрольованого зловмисником LDAP та інших кінцевих точок, пов'язаних з JNDI. Зловмисник, який може контролювати повідомлення журналу або параметри повідомлень журналу, може виконувати довільний код, завантажений із серверів LDAP, коли ввімкнено підстановку пошуку повідомлень. Починаючи з log4j 2.15.0, ця поведінка була вимкнена за замовчуванням. Починаючи з версії 2.16.0 (разом з 2.12.2, 2.12.3 і 2.3.1) цей функціонал був повністю видалений. Зверніть увагу, що ця вразливість специфічна для log4j-core і не впливає на log4net, log4cxx або інші проекти Apache Logging Services.

Dell EMC VPLEX GeoSynchrony 6.2.x працює на Apache Log4j версії 1.2.17, який не вразливий до проблеми, і для VPLEX або VPLEX Cluster Witness не потрібно жодних додаткових дій. Крім того, всі версії до 6.2.x працюють під управлінням версії log4j, на яку не вплинула поточна вразливість.

Для отримання додаткової інформації про інші продукти Dell EMC щодо вразливості Apache log4j зверніться до DSA KBA 000194414, Dell Response to Apache Log4j Remote Code Execution Vulnerability (CVE-2021-44228)