VNX, VNXe, Dell Unity: Sikkerhedsrisiko ved CVE-2022-22963 og CVE-2022-22965 (kan rettes af brugeren)

摘要: Denne KB-artikel beskriver sårbarheder for VNX-, VNXe- og Dell Unity-produkter i forhold til de sårbarheder, der er beskrevet i CVE-2022-22963 og CVE-2022-22965, samlet kaldet "Spring4Shell"-sårbarheder ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Scanneren identificerer en positiv identifikation af et Dell-system som modtageligt for CVE-2022-22963-scanneren
identificerer en sikker identifikation af et Dell-system som modtageligt for CVE-2022-22965
Kundespørgsmål vedrørende sårbarhed i VNX, VNXe eller Unity til CVE-2022-22963
- kundens spørgsmål om sårbarhed af VNX-, VNXe- eller Unity til CVE-2022-22963-produkter

håndteret i denne artikel:
Dell Unity-serien, Dell UnityVSA, VNX1-serien, VNX2-serien, VNXe1-serien, VNXe2-serien

原因

Spring (en afdeling af VMware) annoncerede, at der var en RCE-sårbarhed (Remote Code Execution) i Spring Framework.  Der blev identificeret to cvE'er:

CVE-2022-22963: Fjernudførelse af kode i Spring Cloud-funktion med ondsindet Spring Expression
CVE-2022-22965: Fjernudførelse af kode i et spring MVC- eller Spring WebDomænex-program efter databinding

解决方案

  • VNX og VNXe (alle versioner) integrerer ikke den sårbare kode.  De er derfor ikke tilgængelige.
  • Unity (alle versioner) og UnityVSA integrerer den sårbare kode, men den kan ikke udnyttes. 
    • Unity (samt VNX) kører Java version 8.  Dette er en gyldig løsning , som er identificeret i foråret, da sårbarheden ikke kan udnyttes på Java-kode, der er ældre end Java-version 9.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。