VNX, VNXe y Dell Unity: Vulnerabilidades CVE-2022-22963 y CVE-2022-22965 (corregibles por el usuario)

摘要: En este artículo de la base de conocimientos, se detalla la susceptibilidad de los productos VNX, VNXe y Dell Unity a las vulnerabilidades detalladas en CVE-2022-22963 y CVE-2022-22965, denominadas colectivamente vulnerabilidades de "Spring4Shell" ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

El escáner identifica positivamente un arreglo Dell como susceptible a CVE-2022-22963
El escáner identifica positivamente un arreglo Dell como susceptible a CVE-2022-22965
Pregunta del cliente con respecto a la susceptibilidad de VNX, VNXe o Unity a CVE-2022-22963
Pregunta del cliente sobre la susceptibilidad de VNX, VNXe o Unity a CVE-2022-22963

Productos abordados en este artículo:
serie Dell Unity, Dell UnityVSA, serie VNX1, serie VNX2, serie VNXe1, serie VNXe2

原因

Spring (una división de VMware) anunció que había una vulnerabilidad de ejecución remota de código (RCE) en la infraestructura de Spring.  Se identificaron dos CVE:

CVE-2022-22963: Ejecución remota de código en Spring Cloud Function mediante la expresión maliciosa de Spring
CVE-2022-22965: Ejecución remota de código en una aplicación Spring MVC o Spring WebFlux mediante vinculación de datos

解决方案

  • VNX y VNXe (todas las versiones) no integran el código vulnerable.  Por lo tanto, no son aplicables.
  • Unity (todas las versiones) y UnityVSA incorporan el código vulnerable, pero no se puede aprovechar. 
    • Unity (así como VNX) ejecuta Java versión 8.  Esta es una solución alternativa válida identificada por Spring, ya que la vulnerabilidad no se puede aprovechar en código Java anterior a Java versión 9.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。