VNX、VNXe、Dell Unity:CVE-2022-22963 和 CVE-2022-22965 漏洞 (使用者可修正)
摘要: 本 KB 文章詳細說明 VNX、VNXe 和 Dell Unity 產品易受 CVE-2022-22963 和 CVE-2022-22965 中所詳述漏洞的影響 (統稱「Spring4Shell」漏洞)
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
掃描器明確地識別 Dell 陣列容易受到 CVE-2022-22963 影響
掃描器明確地識別 Dell 陣列容易受到 CVE-2022-22965 影響
關於 VNX、VNXe 或 Unity 容易受到 CVE-2022-22963 影響的客戶問題
關於 VNX、VNXe 或 Unity 容易受到 CVE-2022-22963 影響的客戶問題
本文中說明的產品:
Dell Unity 系列、Dell UnityVSA、VNX1 系列、VNX2 系列、VNXe1 系列、VNXe2 系列
掃描器明確地識別 Dell 陣列容易受到 CVE-2022-22965 影響
關於 VNX、VNXe 或 Unity 容易受到 CVE-2022-22963 影響的客戶問題
關於 VNX、VNXe 或 Unity 容易受到 CVE-2022-22963 影響的客戶問題
本文中說明的產品:
Dell Unity 系列、Dell UnityVSA、VNX1 系列、VNX2 系列、VNXe1 系列、VNXe2 系列
原因
Spring (VMware 部門) 宣佈 Spring Framework 中存在遠端程式碼執行 (RCE) 漏洞。 已識別兩個值得注意的 CVE:
CVE-2022-22963:惡意的 Spring Expression 在 Spring Cloud 功能中的遠端程式碼執行
CVE-2022-22965:透過資料綁定,在 Spring MVC 或 Spring WebFlux 應用程式中的遠端程式碼執行
CVE-2022-22963:惡意的 Spring Expression 在 Spring Cloud 功能中的遠端程式碼執行
CVE-2022-22965:透過資料綁定,在 Spring MVC 或 Spring WebFlux 應用程式中的遠端程式碼執行
解决方案
- VNX 和 VNXe (所有版本) 不會嵌入易受攻擊的程式碼。 因此,這些功能不適用。
- Unity (所有版本) 和 UnityVSA 確實內嵌了易受攻擊的程式碼,但不可利用。
- Unity (以及 VNX) 執行 Java 版本 8。 這是 Spring 識別的有效因應措施,因為 Java 版本 9 之前的 Java 程式碼無法利用此漏洞。
受影响的产品
Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本: 6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。