DPA (Data Protection Advisor): Suojaustarkistusten mukaan Data Protection Advisor käyttää Java 1.8u271 -versiota, joka sisältää tunnettuja haavoittuvuuksia
Summary: Suojaustarkistusten mukaan Data Protection Advisor käyttää Java 1.8u271 -versiota, joka sisältää haavoittuvuuksia.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Suojaustarkistus (esimerkki: Nessus) ilmoittaa, että Data Protection Advisor (DPA) käyttää Java 1.8u271 -versiota (DPA 19.4 b36 ja uudemmat), joka sisältää tunnettuja haavoittuvuuksia. Tarkistus viittaa seuraavaan haavoittuvuuteen Java 1.8 u271 -versiossa.
Lisätietoja tästä haavoittuvuudesta on NIST:n NVD:ssä (National Vulnerability Database) osoitteessa https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE Risk Matrix
This Critical Patch Update contains 1 new security patch for Oracle Java SE. This vulnerability is remotely exploitable without authentication, that is, may be exploited over a network without requiring user credentials.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notes: This vulnerability applies to Java deployments that load and run untrusted code (such as, code that comes from the Internet) and rely on the Java sandbox for security.
This Critical Patch Update contains 1 new security patch for Oracle Java SE. This vulnerability is remotely exploitable without authentication, that is, may be exploited over a network without requiring user credentials.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notes: This vulnerability applies to Java deployments that load and run untrusted code (such as, code that comes from the Internet) and rely on the Java sandbox for security.
Lisätietoja tästä haavoittuvuudesta on NIST:n NVD:ssä (National Vulnerability Database) osoitteessa https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Cause
DPA:n käyttämä Java-versio on 1.8 u271 (DPA 19.4 b36 -versiosta alkaen), mutta tämä haavoittuvuus ei vaikuta DPA:n Java JVM:ään. Katso seuraavia:
Tämä haavoittuvuus koskee Java Webstart -sovelluksia, ei DPA:ta. Kuten CVE-kuvauksessa NIST:n NVD:ssä (National Vulnerability Database) osoitteessa https://nvd.nist.gov/vuln/detail/CVE-2020-14803 kerrotaan:
Tämä on vahvistettu myös Oraclen antamassa suojausvaroituksen kuvauksessa osoitteessa https://www.oracle.com/security-alerts/cpujan2021.html.
DPA:n Java JVM ei lataa eikä salli epäluotettavan koodin suorittamista. Tässä on tarkempia tietoja DPA:n JVM-toteutuksessa suhteessa CVE-kuvaukseen.
DPA Engineering on tehnyt kolmannen osapuolen kirjastojen tarkistuksen, lähdekoodianalyysin ja verkkosovelluksen suojaustestauksen tämän haavoittuvuusraportin vuoksi. Näissä DPA:n tarkistuksissa ja testeissä on havaittu, että tämänkaltaiset hyökkäykset eivät ole mahdollisia.
Tämä haavoittuvuus koskee Java Webstart -sovelluksia, ei DPA:ta. Kuten CVE-kuvauksessa NIST:n NVD:ssä (National Vulnerability Database) osoitteessa https://nvd.nist.gov/vuln/detail/CVE-2020-14803 kerrotaan:
This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (such as, code that comes from the Internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code.
Tämä on vahvistettu myös Oraclen antamassa suojausvaroituksen kuvauksessa osoitteessa https://www.oracle.com/security-alerts/cpujan2021.html.
DPA:n Java JVM ei lataa eikä salli epäluotettavan koodin suorittamista. Tässä on tarkempia tietoja DPA:n JVM-toteutuksessa suhteessa CVE-kuvaukseen.
Java Sandbox - DPA uses the Dell BSafe crypto library. This runs in the same JVM where DPA application server runs on. There is no secluded space by itself called as Sandbox wherein DPA maintains 'code security'. It comes into play when plausible untrusted code could run on a JVM.
Untrusted Code - Scope of this comes into consideration typically when Java Applets are downloaded and run inside a Java Program. In such cases, since the source is not known, the downloaded piece that is often seen as untrusted code. In DPA's paradigm, the installation and or deployment happens on-site barring the option of having any such applet code that is downloaded and run in DPA server's JVM.
Untrusted Code - Scope of this comes into consideration typically when Java Applets are downloaded and run inside a Java Program. In such cases, since the source is not known, the downloaded piece that is often seen as untrusted code. In DPA's paradigm, the installation and or deployment happens on-site barring the option of having any such applet code that is downloaded and run in DPA server's JVM.
DPA Engineering on tehnyt kolmannen osapuolen kirjastojen tarkistuksen, lähdekoodianalyysin ja verkkosovelluksen suojaustestauksen tämän haavoittuvuusraportin vuoksi. Näissä DPA:n tarkistuksissa ja testeissä on havaittu, että tämänkaltaiset hyökkäykset eivät ole mahdollisia.
Resolution
Vaikka haavoittuvuus on Java 1.8u271 -versiossa, se ei vaikuta DPA:n Java JVM:ään.
Ratkaistu Data Protection Advisor 19.5:ssä ja uudemmissa. DPA 19.5:ssä ja uudemmissa on toimitettaessa Java 1.8u281 tai uudempi.
Voit kysyä lisätietoja Dellin tekniseltä tuelta.
Ratkaistu Data Protection Advisor 19.5:ssä ja uudemmissa. DPA 19.5:ssä ja uudemmissa on toimitettaessa Java 1.8u281 tai uudempi.
Voit kysyä lisätietoja Dellin tekniseltä tuelta.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.