VNX, VNXe, Dell Unity: Vulnerabilidades CVE-2022-22963 e CVE-2022-22965 (corrigível pelo usuário)

摘要: Este artigo da KB detalha a suscetibilidade dos produtos VNX, VNXe e Dell Unity às vulnerabilidades detalhadas no CVE-2022-22963 e CVE-2022-22965, coletivamente chamadas de vulnerabilidades "Spring4Shell" ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

O scanner identifica positivamente um array Dell como suscetível ao CVE-2022-22963
O scanner identifica positivamente um array Dell como suscetível ao CVE-2022-22965
Pergunta do cliente sobre a suscetibilidade do VNX, VNXe ou Unity ao CVE-2022-22963
Pergunta do cliente sobre a suscetibilidade do VNX, VNXe ou Unity ao CVE-2022-22963

Produtos abordados neste artigo:
Série Dell Unity, Dell Unity VSA, Série VNX1, Série VNX2, Série VNXe1, Série VNXe2

原因

Spring (uma divisão da VMware) anunciou que havia uma vulnerabilidade de execução remota de código (RCE) no Spring Framework.  Foram identificados dois CVEs de nota:

CVE-2022-22963: Execução remota de código na função Spring Cloud pelo Spring Expression mal-intencionado
CVE-2022-22965: Execução remota de código em um aplicativo Spring MVC ou Spring WebFlux por vinculação de dados

解决方案

  • O VNX e o VNXe (todas as versões) não incorporam o código vulnerável.  Portanto, eles não são aplicáveis.
  • O Unity (todas as versões) e o UnityVSA incorporam o código vulnerável, mas não são exploráveis. 
    • O Unity (bem como o VNX) executa o Java versão 8.  Esta é uma solução temporária válida, conforme identificado pelo Spring, já que a vulnerabilidade não pode ser explorada no código Java anterior à versão 9 do Java.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。