Data Protection Advisor (DPA): Le scansioni di sicurezza indicano che Data Protection Advisor utilizza Java 1.8u271, che ha vulnerabilità
Summary: Le scansioni di sicurezza indicano che Data Protection Advisor utilizza Java 1.8u271 con vulnerabilità.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Scanner di sicurezza (ad esempio: Nessus) indica che Data Protection Advisor (DPA) utilizza Java versione 1.8u271 (DPA 19.4 b36 e versioni successive) con vulnerabilità note. La scansione fa riferimento alla vulnerabilità riportata di seguito per Java 1.8 u271.
Ulteriori dettagli su questa vulnerabilità sono disponibili nel database nazionale delle vulnerabilità del NIST all'indirizzo https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Matrice dei rischi per Oracle Java SE
Questo aggiornamento della patch critica contiene 1 nuova patch di sicurezza per Oracle Java SE. Questa vulnerabilità è sfruttabile in remoto senza autenticazione, ovvero può essere sfruttata su una rete senza richiedere le credenziali dell'utente.
CVE-2020-14803 Java SE, Librerie integrate Java SE Più Sì 5.3 Rete bassa Nessuna Java SE non modificata Nessuna Java non modificata: 7u281, 8u271; Java SE Embedded: Note 8u271:
Questa vulnerabilità si applica alle implementazioni Java che caricano ed eseguono codice non attendibile (ad esempio, il codice proveniente da Internet) e si basano su Java Sandbox per la sicurezza.
Questo aggiornamento della patch critica contiene 1 nuova patch di sicurezza per Oracle Java SE. Questa vulnerabilità è sfruttabile in remoto senza autenticazione, ovvero può essere sfruttata su una rete senza richiedere le credenziali dell'utente.
CVE-2020-14803 Java SE, Librerie integrate Java SE Più Sì 5.3 Rete bassa Nessuna Java SE non modificata Nessuna Java non modificata: 7u281, 8u271; Java SE Embedded: Note 8u271:
Questa vulnerabilità si applica alle implementazioni Java che caricano ed eseguono codice non attendibile (ad esempio, il codice proveniente da Internet) e si basano su Java Sandbox per la sicurezza.
Ulteriori dettagli su questa vulnerabilità sono disponibili nel database nazionale delle vulnerabilità del NIST all'indirizzo https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Cause
Sebbene la versione di Java utilizzata da DPA sia 1.8 u271 (a partire da DPA 19.4 b36), la JVM Java DPA non è interessata da questa vulnerabilità. Vedere i seguenti argomenti:
Questa vulnerabilità è applicabile alle applicazioni Java WebStart e non a DPA. Come indicato nella descrizione CVE del database NIST National Vulnerability in https://nvd.nist.gov/vuln/detail/CVE-2020-14803, si legge come segue:
Ciò è confermato anche nella descrizione degli alert di sicurezza emessa da Oracle al https://www.oracle.com/security-alerts/cpujan2021.html.
La JVM Java di DPA non viene caricata o consente l'esecuzione di codice non attendibile. Di seguito sono riportati dettagli più specifici sull'implementazione JVM di DPA in relazione alla descrizione CVE.
DPA Engineering ha eseguito scansioni di librerie di terze parti, analisi del codice sorgente e test di sicurezza delle applicazioni web per questo report sulle vulnerabilità. Queste scansioni e test eseguiti contro DPA hanno dimostrato che tali attacchi non sono possibili.
Questa vulnerabilità è applicabile alle applicazioni Java WebStart e non a DPA. Come indicato nella descrizione CVE del database NIST National Vulnerability in https://nvd.nist.gov/vuln/detail/CVE-2020-14803, si legge come segue:
Questa vulnerabilità si applica alle implementazioni Java, in genere nei client che eseguono applicazioni Java Web Start in modalità sandbox o applet Java in sandbox, che caricano ed eseguono codice non attendibile (ad esempio, il codice proveniente da Internet) e si basano su Java sandbox per la sicurezza. Questa vulnerabilità non si applica alle implementazioni Java, in genere nei server, che caricano ed eseguono solo codice attendibile.
Ciò è confermato anche nella descrizione degli alert di sicurezza emessa da Oracle al https://www.oracle.com/security-alerts/cpujan2021.html.
La JVM Java di DPA non viene caricata o consente l'esecuzione di codice non attendibile. Di seguito sono riportati dettagli più specifici sull'implementazione JVM di DPA in relazione alla descrizione CVE.
Java Sandbox: DPA utilizza la libreria di crittografia Dell BSafe. Viene eseguito nello stesso JVM su cui viene eseguito l'application server DPA. Non esiste alcuno spazio isolato da solo chiamato Sandbox in cui DPA mantiene la "sicurezza del codice". Viene messa in gioco quando un codice non attendibile può essere eseguito su una JVM.
Codice non attendibile: l'ambito di questo aspetto viene in genere preso in considerazione quando le applet Java vengono scaricate ed eseguite all'interno di un programma Java. In questi casi, poiché l'origine non è nota, il componente scaricato viene spesso visto come codice non attendibile. Nel paradigma DPA, l'installazione e/o il deployment avvengono on-site, salvo la possibilità di scaricare ed eseguire tale codice applet nel JVM del server DPA.
Codice non attendibile: l'ambito di questo aspetto viene in genere preso in considerazione quando le applet Java vengono scaricate ed eseguite all'interno di un programma Java. In questi casi, poiché l'origine non è nota, il componente scaricato viene spesso visto come codice non attendibile. Nel paradigma DPA, l'installazione e/o il deployment avvengono on-site, salvo la possibilità di scaricare ed eseguire tale codice applet nel JVM del server DPA.
DPA Engineering ha eseguito scansioni di librerie di terze parti, analisi del codice sorgente e test di sicurezza delle applicazioni web per questo report sulle vulnerabilità. Queste scansioni e test eseguiti contro DPA hanno dimostrato che tali attacchi non sono possibili.
Resolution
Sebbene la vulnerabilità esista in Java 1.8u271, la JVM Java DPA non è interessata da questa vulnerabilità.
Risolto in Data Protection Advisor 19.5 e versioni successive. DPA 19.5 e versioni successive viene fornito con Java 1.8u281 o versione successiva.
Per ulteriori dettagli o informazioni, contattare il supporto tecnico Dell.
Risolto in Data Protection Advisor 19.5 e versioni successive. DPA 19.5 e versioni successive viene fornito con Java 1.8u281 o versione successiva.
Per ulteriori dettagli o informazioni, contattare il supporto tecnico Dell.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.