VNX, VNXe, Dell Unity: CVE-2022-22963 og CVE-2022-22965 sikkerhetsproblemer (kan korrigeres av brukeren)

摘要: Denne KB-artikkelen inneholder informasjon om følsomheten til VNX-, VNXe- og Dell Unity-produkter til sikkerhetsproblemene som er beskrevet i CVE-2022-22963 og CVE-2022-22965, samlet kalt «Spring4Shell»-sikkerhetsproblemer ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Skanneren identifiserer en Dell-matrise som utsatt for CVE-2022-22963-skanneren
, og identifiserer en Dell-matrise som utsatt for CVE-2022-22965-kundespørsmål
angående følsomheten til VNX, VNXe eller Unity til CVE-2022-22963
Kundespørsmål om om hvorvidt VNX, VNXe eller Unity til CVE-2022-22963-produkter

som eradressert i denne artikkelen:
Dell Unity-serien, Dell UnityVSA, VNX1-serien, VNX2-serien, VNXe1-serien, VNXe2-serien

原因

Våren (en avdeling av VMware) kunngjorde at det var et sikkerhetsproblem med ekstern kjøring av kode (RCE) i Spring Framework.  To CVE-er ble identifisert:

CVE-2022-22963: Ekstern kjøring av kode i Spring Cloud Function etter ondsinnet springuttrykk
CVE-2022-22965: Ekstern kjøring av kode i en Spring MVC- eller Spring WebFlux-applikasjon etter databinding

解决方案

  • VNX og VNXe (alle versjoner) bygger ikke inn den sårbare koden.  Derfor er de ikke aktuelle.
  • Unity (alle versjoner) og UnityVSA bygger inn den sårbare koden, men den kan ikke utnyttes. 
    • Unity (i tillegg til VNX) kjører Java versjon 8.  Dette er en gyldig løsning som identifiseres av våren, siden sikkerhetsproblemet ikke kan utnyttes på Java-kode som er eldre enn Java versjon 9.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。