VNX、VNXe、Dell Unity:CVE-2022-22963 和 CVE-2022-22965 漏洞(用户可纠正)
摘要: 本知识库文章详细介绍了 CVE-2022-22963 和 CVE-2022-22965 中所述漏洞(统称为“Spring4Shell”漏洞)对 VNX、VNXe 和 Dell Unity 产品的影响程度
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
扫描程序将戴尔阵列标识为容易受到 CVE-2022-22963 的影响
扫描程序将戴尔阵列标识为容易受到 CVE-2022-22965 的影响
客户询问 CVE-2022-22963 对 VNX、VNXe 或 Unity 的影响程度
客户询问 CVE-2022-22965 对 VNX、VNXe 或 Unity 的影响程度
本文涉及的产品:
Dell Unity 系列、Dell UnityVSA、VNX1 系列、VNX2 系列、 VNXe1 系列、VNXe2 系列
扫描程序将戴尔阵列标识为容易受到 CVE-2022-22965 的影响
客户询问 CVE-2022-22963 对 VNX、VNXe 或 Unity 的影响程度
客户询问 CVE-2022-22965 对 VNX、VNXe 或 Unity 的影响程度
本文涉及的产品:
Dell Unity 系列、Dell UnityVSA、VNX1 系列、VNX2 系列、 VNXe1 系列、VNXe2 系列
原因
Spring(VMware 的一个部门)宣布 Spring Framework 中存在远程代码执行 (RCE) 漏洞。 有两个需要注意的 CVE:
CVE-2022-22963:通过恶意 Spring Expression 在 Spring Cloud Function 中执行远程代码
CVE-2022-22965:通过数据绑定在 Spring MVC 或 Spring WebFlux 应用程序中执行远程代码
CVE-2022-22963:通过恶意 Spring Expression 在 Spring Cloud Function 中执行远程代码
CVE-2022-22965:通过数据绑定在 Spring MVC 或 Spring WebFlux 应用程序中执行远程代码
解决方案
- VNX 和 VNXe(所有版本)未嵌入易受攻击的代码。 因此,它们不适用。
- Unity(所有版本)和 UnityVSA 嵌入了易受攻击的代码,但不可利用。
- Unity(以及 VNX)运行 Java 版本 8。 这是 Spring 确认的有效解决方法,因为该漏洞无法在低于 Java 版本 9 的 Java 代码上利用。
受影响的产品
Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本: 6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。