VPLEX: VPLEX eller VPLEX-klyngevitnet påvirkes ikke av sikkerhetsproblemene i Apache Log4shell

Sikkerhetsproblem med ekstern kjøring av kode for Apache Log4j som kan utnyttes av ondsinnede brukere for å skade det berørte systemet, kan kjøres mot et system for å se om uautorisert tilgang kan gjøres for det formål å kjøre skadelig kode på systemer som er sårbare for log4j-problemet.

Apache Log4j2 2.0-beta9 til 2.15.0 (unntatt sikkerhetsutgivelser 2.12.2, 2.12.3 og 2.3.1) JNDI-funksjoner som brukes i konfigurasjon, loggmeldinger og parametere beskytter ikke mot angriperkontrollert LDAP og andre JNDI-relaterte endepunkter. En angriper som kan kontrollere loggmeldinger eller loggmeldingsparametere, kan kjøre vilkårlig kode lastet fra LDAP-servere når erstatning for meldingsoppslag er aktivert. Denne atferden er deaktivert som standard fra log4j 2.15.0. Fra versjon 2.16.0 (sammen med 2.12.2, 2.12.3 og 2.3.1) er denne funksjonaliteten fullstendig fjernet. Vær oppmerksom på at dette sikkerhetsproblemet er spesifikt for log4j-core og ikke påvirker log4net-, log4cxx- eller andre Apache Logging Services-prosjekter.

Dell EMC VPLEX GeoSynchrony 6.2.x kjører på Apache Log4j versjon 1.2.17, som ikke er sårbar for problemet, og det kreves ingen ytterligere tiltak for VPLEX eller VPLEX-klyngevitnet. Alle versjoner før 6.2.x kjører også en log4j-versjon som ikke påvirkes av det gjeldende sikkerhetsproblemet.

Hvis du vil ha mer informasjon om andre Dell EMC-produkter med hensyn til sikkerhetsproblemene med Apache log4j, kan du se DSA KBA 000194414, Dell Response to Apache Log4j Remote Code Execution Vulnerability (CVE-2021-44228)