VNX, VNXe, Dell Unity: Vulnerabilità CVE-2022-22963 e CVE-2022-22965 (correggibile dall'utente)

摘要: Questo articolo della Knowledge Base descrive in dettaglio la predisposizione dei prodotti VNX, VNXe e Dell Unity alle vulnerabilità descritte in CVE-2022-22963 e CVE-2022-22965, denominate collettivamente vulnerabilità "Spring4Shell". ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Lo scanner identifica un array Dell interessato da CVE-2022-22963
Lo scanner identifica un array Dell come vulnerabile a CVE-2022-22965
Domanda del cliente sulla vulnerabilità di VNX, VNXe o Unity in CVE-2022-22963
Domanda del cliente sulla predisposizione di VNX, VNXe o Unity a CVE-2022-22963

Prodotti trattati in questo articolo:
Dell Unity, Dell UnityVSA, serie VNX1, serie VNX2, serie VNXe1, serie VNXe2

原因

Spring (una divisione di VMware) ha annunciato una vulnerabilità RCE (Remote Code Execution) in Spring Framework.  Sono stati identificati due CVE importanti:

CVE-2022-22963: Remote Code Execution in Spring Cloud Function da parte di un'espressione Spring malevole
CVE-2022-22965: Remote code execution in un'applicazione Spring MVC o Spring WebFlux dovuta a un'associazione di dati

解决方案

  • VNXVNXe (tutte le versioni) non incorporano il codice vulnerabile.  Pertanto, non sono applicabili.
  • Unity (tutte le versioni) e UnityVSA incorporano il codice vulnerabile, ma non è sfruttabile
    • Unity (così come VNX) esegue Java versione 8.  Si tratta di una soluzione alternativa valida identificata da Spring, poiché la vulnerabilità non può essere sfruttata su codice Java precedente alla versione 9.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。