VNX, VNXe, Dell Unity: Luka CVE-2022-22963 i CVE-2022-22965 (możliwość korekty z poziomu użytkownika)

摘要: Ten artykuł bazy wiedzy zawiera szczegółowe informacje na temat podatności produktów VNX, VNXe i Dell Unity na luki opisane w CVE-2022-22963 i CVE-2022-22965, zwane łącznie lukami w zabezpieczeniach "Spring4Shell" ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Skaner pozytywnie identyfikuje macierz firmy Dell jako podatną na CVE-2022-22963
Skaner pozytywnie wskazuje macierz firmy Dell jako podatną na CVE-2022-22965
Pytanie klienta dotyczące podatności VNX, VNXe lub Unity na CVE-2022-22963
Pytanie klienta dotyczące podatności VNX, VNXe lub Unity na CVE-2022-22963

Produkty, o których mowa w tym artykule:
Dell Unity Series, Dell UnityVSA, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series

原因

Spring (oddział VMware) informuje o istnieniu luki w zabezpieczeniach zdalnego wykonywania kodu (RCE) w ramach Spring Framework.  Zidentyfikowano dwa CVE:

CVE-2022-22963: Zdalne wykonywanie kodu w Spring Cloud Function przez złośliwe wyrażenie Spring
CVE-2022-22965: Zdalne wykonywanie kodu w aplikacji Spring MVC lub Spring WebFlux przez powiązanie danych

解决方案

  • VNX i VNXe (wszystkie wersje) nie osadzają zagrożonego kodu.  W związku z tym nie mają one zastosowania.
  • Unity (wszystkie wersje) i UnityVSA osadzają zagrożony kod, ale nie można go wykorzystać. 
    • Unity (oraz VNX) uruchamia język Java w wersji 8.  Jest to prawidłowe obejście wskazane przez Spring, ponieważ luki nie można wykorzystać na kodzie Java wcześniejszym niż Java w wersji 9.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。