Data Protection Advisor (DPA): Sicherheitsscans weisen darauf hin, dass Data Protection Advisor Java 1.8u271 verwendet, das bekannte Sicherheitslücken aufweist
Summary: Sicherheitsscans weisen darauf hin, dass Data Protection Advisor Java 1.8u271 verwendet, das Sicherheitslücken aufweist.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Der Sicherheitsscanner (Beispiel: Nessus) weist darauf hin, dass Data Protection Advisor (DPA) die Java-Version 1.8u271 (DPA 19.4 b36 und höher) verwendet, die bekannte Sicherheitslücken aufweist. Der Scan verweist auf die folgende Sicherheitslücke von Java 1.8 u271.
Weitere Informationen zu dieser Sicherheitslücke finden Sie in der National Vulnerability Database des NIST auf https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java-SE-Risikomatrix
Dieses wichtige Patch-Update enthält 1 neuen Sicherheitspatch für Oracle Java SE. Diese Sicherheitslücke kann remote ohne Authentifizierung ausgenutzt werden, d. h. sie kann über ein Netzwerk ausgenutzt werden, ohne dass Nutzeranmeldedaten erforderlich sind.
CVE-2020-14803 Java SE, Java SE Embedded Bibliotheken Mehrere Ja 5.3 Netzwerk Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Hinweise: Diese Sicherheitslücke betrifft Java-Bereitstellungen, die nicht vertrauenswürdigen Code laden und ausführen (z. B. Code, der aus dem Internet stammt) und sich für die Sicherheit auf die Java-Sandbox verlassen.
Dieses wichtige Patch-Update enthält 1 neuen Sicherheitspatch für Oracle Java SE. Diese Sicherheitslücke kann remote ohne Authentifizierung ausgenutzt werden, d. h. sie kann über ein Netzwerk ausgenutzt werden, ohne dass Nutzeranmeldedaten erforderlich sind.
CVE-2020-14803 Java SE, Java SE Embedded Bibliotheken Mehrere Ja 5.3 Netzwerk Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Hinweise: Diese Sicherheitslücke betrifft Java-Bereitstellungen, die nicht vertrauenswürdigen Code laden und ausführen (z. B. Code, der aus dem Internet stammt) und sich für die Sicherheit auf die Java-Sandbox verlassen.
Weitere Informationen zu dieser Sicherheitslücke finden Sie in der National Vulnerability Database des NIST auf https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Cause
Obwohl die von DPA verwendete Java-Version 1.8u271 ist (ab DPA 19.4 b36), ist die Java-JVM von DPA nicht von dieser Sicherheitslücke betroffen. Siehe Folgendes:
Diese Sicherheitslücke betrifft Java-Webstart-Anwendungen und nicht DPA. Wie in der CVE-Beschreibung der National Vulnerability Database des NIST auf https://nvd.nist.gov/vuln/detail/CVE-2020-14803 angegeben:
Dies wird auch in der Sicherheitswarnmeldung von Oracle auf https://www.oracle.com/security-alerts/cpujan2021.html bestätigt.
Die Java-JVM von DPA lädt keinen nicht vertrauenswürdigen Code bzw. lässt dessen Ausführung nicht zu. Nachfolgend finden Sie genauere Details zur JVM-Implementierung von DPA hinsichtlich der CVE-Beschreibung.
DPA Engineering hat Scans an Drittanbieterbibliotheken, Quellcodeanalysen und Webanwendungs-Sicherheitstests rund um diese Sicherheitslücke durchgeführt. Diese Scans und Tests, die mit DPA durchgeführt werden, haben gezeigt, dass derartige Angriffe nicht möglich sind.
Diese Sicherheitslücke betrifft Java-Webstart-Anwendungen und nicht DPA. Wie in der CVE-Beschreibung der National Vulnerability Database des NIST auf https://nvd.nist.gov/vuln/detail/CVE-2020-14803 angegeben:
Diese Sicherheitslücke betrifft Java-Bereitstellungen, in der Regel auf Clients, auf denen Sandbox-Java-Webstart-Anwendungen oder Sandbox-Java-Applets ausgeführt werden, die nicht vertrauenswürdigen Code laden und ausführen (z. B. Code, der aus dem Internet stammt) und sich für die Sicherheit auf die Java-Sandbox verlassen. Diese Sicherheitslücke gilt nicht für Java-Bereitstellungen, in der Regel auf Servern, die nur vertrauenswürdigen Code laden und ausführen.
Dies wird auch in der Sicherheitswarnmeldung von Oracle auf https://www.oracle.com/security-alerts/cpujan2021.html bestätigt.
Die Java-JVM von DPA lädt keinen nicht vertrauenswürdigen Code bzw. lässt dessen Ausführung nicht zu. Nachfolgend finden Sie genauere Details zur JVM-Implementierung von DPA hinsichtlich der CVE-Beschreibung.
Java-Sandbox – DPA verwendet die Dell BSafe-Kryptobibliothek. Diese wird in derselben JVM ausgeführt, auf der der DPA-Anwendungsserver ausgeführt wird. Es gibt keinen separaten Speicherplatz in Form einer „Sandbox“, in dem DPA die „Codesicherheit“ aufrechterhält. Dies kommt ins Spiel, wenn nicht vertrauenswürdiger Code auf einer JVM ausgeführt werden könnte.
Nicht vertrauenswürdiger Code – Dies muss in der Regel berücksichtigt werden, wenn Java-Applets heruntergeladen und innerhalb eines Java-Programms ausgeführt werden. Da die Quelle in solchen Fällen nicht bekannt ist, wird das heruntergeladene Element oft als nicht vertrauenswürdiger Code angesehen. Bei DPA erfolgt die Installation und/oder Bereitstellung vor Ort, ohne dass die Möglichkeit besteht, einen solchen Applet-Code herunterzuladen und in der JVM des DPA-Servers auszuführen.
Nicht vertrauenswürdiger Code – Dies muss in der Regel berücksichtigt werden, wenn Java-Applets heruntergeladen und innerhalb eines Java-Programms ausgeführt werden. Da die Quelle in solchen Fällen nicht bekannt ist, wird das heruntergeladene Element oft als nicht vertrauenswürdiger Code angesehen. Bei DPA erfolgt die Installation und/oder Bereitstellung vor Ort, ohne dass die Möglichkeit besteht, einen solchen Applet-Code herunterzuladen und in der JVM des DPA-Servers auszuführen.
DPA Engineering hat Scans an Drittanbieterbibliotheken, Quellcodeanalysen und Webanwendungs-Sicherheitstests rund um diese Sicherheitslücke durchgeführt. Diese Scans und Tests, die mit DPA durchgeführt werden, haben gezeigt, dass derartige Angriffe nicht möglich sind.
Resolution
Obwohl die Sicherheitslücke in Java 1.8u271 vorhanden ist, ist die Java-JVM von DPA nicht von dieser Sicherheitslücke betroffen.
Behoben in Data Protection Advisor 19.5 und höher. DPA 19.5 und höher wird mit Java 1.8u281 oder höher ausgeliefert.
Wenden Sie sich an den technischen Support von Dell, um weitere Details oder Informationen zu erhalten.
Behoben in Data Protection Advisor 19.5 und höher. DPA 19.5 und höher wird mit Java 1.8u281 oder höher ausgeliefert.
Wenden Sie sich an den technischen Support von Dell, um weitere Details oder Informationen zu erhalten.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.