VNX, VNXe, Dell Unity : failles de sécurité CVE-2022-22963 et CVE-2022-22965 (corrigible par l'utilisateur)

摘要: Cet article de la base de connaissances décrit la vulnérabilité des produits VNX, VNXe et Dell Unity aux failles de sécurité décrites dans CVE-2022-22963 et CVE-2022-22965, collectivement appelées « Spring4Shell ». ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Le scanner identifie formellement une baie Dell comme étant vulnérable à la faille de sécurité CVE-2022-22963
Le scanner identifie formellement une baie Dell comme étant vulnérable à la faille de sécurité CVE-2022-22965.
Question client concernant la vulnérabilité de VNX, VNXe ou Unity à la faille de sécurité CVE-2022-22963
Question client concernant la vulnérabilité de VNX, VNXe ou Unity à la faille de sécurité CVE-2022-22963

Produits abordés dans cet article :
Série Dell Unity, Dell UnityVSA, série VNX1, série VNX2, série VNXe1, série VNXe2

原因

Spring (une division de VMware) a annoncé que le cadre Spring présentait une faille de sécurité d'exécution de code à distance (RCE).  Deux CVE importantes ont été identifiées :

CVE-2022-22963 : Exécution de code à distance dans la fonction Cloud Spring par une expression Spring malveillante
CVE-2022-22965 : Exécution de code à distance dans une application Spring MVC ou Spring WebFlux par liaison de données

解决方案

  • VNX et VNXe (toutes les versions) n'intègrent pas le code vulnérable.  Par conséquent, ils ne sont pas applicables.
  • Unity (toutes les versions) et UnityVSA intègrent le code vulnérable, mais il n'est pas exploitable
    • Unity (ainsi que VNX) exécute Java version 8.  Il s'agit d'un contournement valide identifié par Spring, car la faille de sécurité ne peut pas être exploitée sur le code Java antérieur à Java version 9.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。