VPLEX: VPLEX oder VPLEX Cluster Witness sind von der Apache Log4shell-Sicherheitslücke nicht betroffen.

Samenvatting: Dieser Artikel soll Kunden und Dell-Mitarbeiter darüber informieren, dass Dell EMC VPLEX und Cluster Witness nicht von der jüngsten Apache Log4shell-Sicherheitslücke CVE-2021-44228 betroffen sind. ...

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.
Bekijk andere hulpbronnen

Symptomen

Die Sicherheitslücke bei der Ausführung von Apache Log4j-Remotecode, die von böswilligen Benutzern ausgenutzt werden kann, um das betroffene System zu gefährden, kann auf einem System ausgeführt werden, um festzustellen, ob unbefugter Zugriff für den Zweck genommen werden kann, schädlichen Code auf Systemen auszuführen, die anfällig für das Log4j-Problem sind.

Oorzaak

JNDI-Funktionen in Apache Log4j2 2.0-beta9 bis 2.15.0 (mit Ausnahme der Sicherheitsversionen 2.12.2, 2.12.3 und 2.3.1), die in der Konfiguration, in den Protokollmeldungen und in den Parametern verwendet werden, bieten keinen Schutz gegen LDAP und andere JNDI-bezogene Endpunkte, die von Angreifern kontrolliert werden. Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Ersetzung der Meldungssuche aktiviert ist. Ab Log4j 2.15.0 wurde dieses Verhalten standardmäßig deaktiviert. Ab Version 2.16.0 (zusammen mit 2.12.2, 2.12.3 und 2.3.1) wurde diese Funktion vollständig entfernt. Beachten Sie, dass diese Schwachstelle spezifisch für Log4j-core ist und keine Auswirkungen auf log4net, log4cxx oder andere Apache Logging Services-Projekte hat.

Oplossing

Dell EMC VPLEX GeoSynchrony 6.2.x wird auf Apache Log4j Version 1.2.17 ausgeführt, das für das Problem nicht anfällig ist. Es sind keine weiteren Maßnahmen für VPLEX oder den VPLEX Cluster Witness erforderlich. Außerdem wird auf allen Versionen vor Version 6.2.x eine Log4j-Version ausgeführt, die von der aktuellen Sicherheitslücke nicht betroffen ist.

Extra informatie

Weitere Informationen zu anderen Dell EMC Produkten im Zusammenhang mit der Sicherheitslücke in Apache Log4j finden Sie unter DSA KBA 000194414: Antwort von Dell auf Sicherheitslücke in Apache Log4j durch Remoteausführung von Code

Getroffen producten

VPLEX GeoSynchrony, VPLEX Series, VPLEX VS2, VPLEX VS6
Artikeleigenschappen
Artikelnummer: 000194800
Artikeltype: Solution
Laatst aangepast: 12 mei 2026
Versie:  6
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.