VNX, VNXe, Dell Unity: CVE-2022-22963 och CVE-2022-22965 Säkerhetsrisk (kan korrigeras av användaren)

摘要: I den här kunskapsdatabasartikeln beskrivs sårbarheten hos VNX-, VNXe- och Dell Unity-produkter för de säkerhetsproblem som beskrivs i CVE-2022-22963 och CVE-2022-22965, som gemensamt kallas "Spring4Shell"-sårbarheter ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Skannern identifierar en Dell-matris som mottaglig för CVE-2022-22963-skannern
identifierar på ett positivt sätt ett Dell-disksystem som är mottagligt för CVE-2022-22965
Kundfråga angående mottaglighet för VNX, VNXe- eller Unity-till-CVE-2022-22963
– Kundfråga om mottaglighet för VNX-, VNXe- eller Unity-produkter för CVE-2022-22963

somtas upp i den här artikeln:
Dell Unity-serien, Dell UnityVSA, VNX1-serien, VNX2-serien, VNXe1-serien, VNXe2-serien

原因

Spring (en avdelning inom VMware) meddelade att det fanns ett säkerhetsproblem med Remote Code Execution (RCE) i Spring Framework.  Två CVE-anteckningar identifierades:

CVE-2022-22963: Fjärrkörning av kod i springmolnfunktionen med skadligt våruttryck
CVE-2022-22965: Fjärrkörning av kod i ett Spring MVC- eller Spring WebFlux-program genom databindning

解决方案

  • VNX och VNXe (alla versioner) bäddar inte in den sårbara koden.  Därför är de inte tillämpliga.
  • Unity (alla versioner) och UnityVSA bäddar in den sårbara koden, men den kan inte utnyttjas. 
    • Unity (och VNX) kör Java version 8.  Det här är en giltig lösning som identifieras under våren, eftersom säkerhetsproblemet inte kan utnyttjas på Java-kod tidigare än Java version 9.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。