VNX, VNXe, Dell Unity: Уразливість CVE-2022-22963 та CVE-2022-22965 (можна виправити користувачем)

摘要: У цій статті бази знань докладно описано вразливість продуктів VNX, VNXe та Dell Unity до вразливостей, детально описаних у CVE-2022-22963 та CVE-2022-22965, які разом називаються вразливостями «Spring4Shell» ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Сканер позитивно ідентифікує масив Dell як сприйнятливий до CVE-2022-22963 Сканер позитивно ідентифікує масив Dell як сприйнятливий до CVE-2022-22965
Запитання клієнта щодо сприйнятливості VNX, VNXe або Unity до CVE-2022-22963 Запитання клієнта щодо сприйнятливості VNX, VNXe або Unity до CVE-2022-22963



Продукти, розглянуті в цій статті:
Dell Unity Series, Dell UnityVSA, Серія VNX1, Серія VNX2, Серія VNXe1, серія VNXe2

原因

Spring (підрозділ VMware) оголосила, що в Spring Framework існує вразливість віддаленого виконання коду (RCE).  Було визначено два примітних CVE:

CVE-2022-22963: Дистанційне виконання коду у функції Spring Cloud шкідливим виразом Spring Expression
CVE-2022-22965: Віддалене виконання коду в додатку Spring MVC або Spring WebFlux шляхом прив'язки даних

解决方案

  • VNX і VNXe (всі версії) не вбудовують вразливий код.  Тому вони не застосовні.
  • Unity (всі версії) і UnityVSA вбудовують вразливий код, але його не можна експлуатувати. 
    • Unity (як і VNX) працює під управлінням Java версії 8.  Це дійсний обхідний шлях, визначений Spring, оскільки уразливість не може бути використана в коді Java раніше, ніж Java версії 9.

受影响的产品

Dell EMC Unity, VNX1 Series, VNX2 Series, VNXe1 Series, VNXe2 Series
文章属性
文章编号: 000198095
文章类型: Solution
上次修改时间: 14 12月 2022
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。