VNX, VNXe, Dell Unity: BEVEILIGINGSLEK CVE-2022-22963 en CVE-2022-22965 (op te lossen door gebruiker)

摘要: Dit KB-artikel beschrijft de gevoeligheid van VNX-, VNXe- en Dell Unity-producten voor de beveiligingslekken die worden beschreven in CVE-2022-22963 en CVE-2022-22965, gezamenlijk "Spring4Shell"-beveiligingslekken genoemd ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Scanner identificeert een Dell array positief als gevoelig voor CVE-2022-22963
Scanner identificeert een Dell array positief als vatbaar voor CVE-2022-22965
klantvraag over de gevoeligheid van VNX, VNXe of Unity naar CVE-2022-22963
Klantvraag over de gevoeligheid van VNX, VNXe of Unity voor CVE-2022-22963

producten behandeld in dit artikel:
Dell Unity serie, Dell UnityVSA, VNX1 serie, VNX2 serie, VNXe1 serie, VNXe2 serie

原因

Spring (een divisie van VMware) heeft aangekondigd dat er een beveiligingslek met betrekking tot Remote Code Execution (RCE) is in het Spring Framework.  Er zijn twee CVE's met opmerking geïdentificeerd:

CVE-2022-22963: Externe code-uitvoering in Spring Cloud Function door schadelijke Spring Expression
CVE-2022-22965: Externe code-uitvoering in een Spring MVC- of Spring WebF lux-applicatie door databinding

解决方案

  • VNX en VNXe (alle versies) sluiten de kwetsbare code niet in.  Daarom zijn ze niet van toepassing.
  • Unity (alle versies) en UnityVSA bevatten de kwetsbare code, maar deze is niet exploiteerbaar. 
    • Unity (en VNX) voert Java versie 8 uit.  Dit is een geldige tijdelijke oplossing , zoals vastgesteld door de lente, omdat het beveiligingslek niet eerder kan worden misbruikt op Java-code dan Java versie 9.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。