VNX, VNXe, Dell Unity: Sicherheitslücken CVE-2022-22963 und CVE-2022-22965 (vom Nutzer korrigierbar)

摘要: In diesem Wissensdatenbank-Artikel wird die Anfälligkeit von VNX-, VNXe- und Dell Unity-Produkten für die in CVE-2022-22963 und CVE-2022-22965 beschriebenen Sicherheitslücken beschrieben, die zusammen als „Spring4Shell“-Sicherheitslücken bezeichnet werden. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Der Scanner identifiziert ein Dell Array als anfällig für CVE-2022-22963.
Der Scanner identifiziert ein Dell Array als anfällig für CVE-2022-22965.
Kundenfrage zur Anfälligkeit von VNX, VNXe oder Unity für CVE-2022-22963
Kundenfrage zur Anfälligkeit von VNX, VNXe oder Unity für CVE-2022-22963

Produkte in diesem Artikel:
Dell Unity Serie, Dell UnityVSA, VNX1 Serie, VNX2 Serie, VNXe1 Serie, VNXe2 Serie

原因

Spring (eine Abteilung von VMware) hat bekanntgegeben, dass im Spring-Framework eine Remote Code Execution (RCE)-Sicherheitslücke vorliegt.  Hierzu gibt es zwei wichtige CVEs:

CVE-2022-22963: Remote-Codeausführung in Spring Cloud Function durch bösartige Spring Expression
CVE-2022-22965: Remote-Codeausführung in einer Spring MVC- oder Spring WebFlux-Anwendung durch Datenbindung

解决方案

  • VNX und VNXe (alle Versionen) integrieren den anfälligen Code nicht.  Daher sind sie nicht betroffen.
  • Unity (alle Versionen) und UnityVSA integrieren zwar den anfälligen Code, dieser kann aber nicht ausgenutzt werden
    • Unity (sowie VNX) führt Java-Version 8 aus.  Es gibt eine gültige Problemumgehung, die von Spring identifiziert wurde, da die Sicherheitslücke nicht auf Java-Code vor Version 9 ausgenutzt werden kann.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。