VNX, VNXe, Dell Unity: CVE-2022-22963 ve CVE-2022-22965 Güvenlik Açığı (Kullanıcı Tarafından Düzeltilebilir)

摘要: Bu KB makalesinde VNX, VNXe ve Dell Unity ürünlerinin, topluca "Spring4Shell" güvenlik açıkları olarak adlandırılan CVE-2022-22963 ve CVE-2022-22965'te ayrıntıları verilen güvenlik açıklarına karşı duyarlılığı ayrıntılı şekilde açıklanmaktadır ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Tarayıcı, bir Dell dizisini olumlu şekilde CVE-2022-22963'e duyarlı olarak tanımlar
Tarayıcı, bir Dell dizisini olumlu şekilde CVE-2022-22965'e duyarlı olarak tanımlar
VNX, VNXe veya Unity'nin CVE-2022-22963'e duyarlılığıyla ilgili müşteri sorusu alınır
VNX, VNXe veya Unity'nin CVE-2022-22963'e duyarlılığıyla ilgili müşteri sorusu alınır

Bu makalede ele alınan ürünler:
Dell Unity Serisi, Dell UnityVSA, VNX1 Serisi, VNX2 Serisi, VNXe1 Serisi, VNXe2 Serisi

原因

Spring (VMware'in bir bölümü), Spring Framework'te bir Uzaktan Kod Yürütme (RCE) güvenlik açığı olduğunu duyurdu.  İki önemli CVE tanımlandı:

CVE-2022-22963: Kötü niyetli Spring Expression tarafından Spring Bulut İşlevinde uzaktan kod yürütme
CVE-2022-22965: Veri bağlama yoluyla Spring MVC veya Spring WebFlux uygulamasında uzaktan kod yürütme

解决方案

  • VNX ve VNXe (tüm sürümler), güvenlik açığı bulunan koda sahip değildir.  Bu nedenle ilgili sorun, bunlar için geçerli değildir.
  • Unity (tüm sürümler) ve UnityVSA, güvenlik açığı bulunan koda sahiptir ancak kötüye kullanılamaz
    • Unity (ve VNX) Java sürüm 8'i çalıştırır.  Bu çözüm, Spring tarafından tanımlanan bir geçici çözümdür çünkü güvenlik açığı Java sürüm 9'dan önceki Java kodunda kullanılamaz.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。