VNX, VNXe, Dell Unity. Уязвимости CVE-2022-22963 и CVE-2022-22965 (исправляется пользователем)

摘要: В этой статье базы знаний подробно описывается подверженность продуктов VNX, VNXe и Dell Unity уязвимостям, описанным в CVE-2022-22963 и CVE-2022-22965, которые в совокупности называются уязвимостями «Spring4Shell» ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Сканер положительно определяет массив Dell как подверженный уязвимости CVE-2022-22963
Сканер положительно определяет массив Dell как подверженный уязвимости CVE-2022-22965
Вопрос заказчика относительно подверженности VNX, VNXe или Unity уязвимости CVE-2022-22963
Вопрос заказчика относительно подверженности VNX, VNXe или Unity уязвимости CVE-2022-22963

Продукты, рассмотренные в этой статье:
серия Dell Unity, Dell UnityVSA, серия VNX1, серия VNX2, серия VNXe1, серия VNXe2

原因

Компания Spring (подразделение VMware) объявила о том, что в Spring Framework существует уязвимость, делающая возможным удаленное выполнение кода (RCE).  Были выявлены два CVE:

CVE-2022-22963: Удаленное выполнение кода в функции Spring Cloud от вредоносного Spring Expression
CVE-2022-22965: Удаленное выполнение кода в приложении Spring MVC или Spring WebFlux путем привязки данных

解决方案

  • VNX и VNXe (все версии) не встраивают уязвимый код.  Поэтому они не применяются.
  • Unity (все версии) и UnityVSA встраивают уязвимый код, но он не может быть использован. 
    • В Unity (а также VNX) используется Java версии 8.  Это допустимое временное решение по мнению Spring, так как уязвимость не может быть использована в коде Java в более ранней версии, чем Java 9.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。