DPA(Data Protection Advisor): 보안 검사에서 Data Protection Advisor가 취약성을 알고 있는 Java 1.8u271을 사용하고 있는 것으로 나타남
Summary: 보안 검사에서 Data Protection Advisor가 취약성이 있는 Java 1.8u271을 사용하고 있는 것으로 나타납니다.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
보안 스캐너(예: Nessus)는 DPA(Data Protection Advisor)가 알려진 취약성이 있는 Java 버전 1.8u271(DPA 19.4 b36 이상)을 사용함을 나타냅니다. 이 검사는 Java 1.8 u271에 대한 아래 취약성을 참조합니다.
이 취약성에 대한 자세한 내용은 NIST의 국가 취약성 데이터베이스(https://nvd.nist.gov/vuln/detail/CVE-2020-14803)에서 확인할 수 있습니다.
Oracle Java SE Risk Matrix
이 Critical Patch Update에는 Oracle Java SE용 새 보안 패치가 1개 포함되어 있습니다. 이 취약성은 인증 없이 원격으로 악용될 수 있습니다. 즉, 사용자 자격 증명 없이 네트워크를 통해 악용될 수 있습니다.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
참고: 이 취약성은 신뢰할 수 없는 코드(예: 인터넷에서 가져온 코드)를 로드 및 실행하고 보안을 위해 Java 샌드박스를 사용하는 Java 배포에 적용됩니다.
이 Critical Patch Update에는 Oracle Java SE용 새 보안 패치가 1개 포함되어 있습니다. 이 취약성은 인증 없이 원격으로 악용될 수 있습니다. 즉, 사용자 자격 증명 없이 네트워크를 통해 악용될 수 있습니다.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
참고: 이 취약성은 신뢰할 수 없는 코드(예: 인터넷에서 가져온 코드)를 로드 및 실행하고 보안을 위해 Java 샌드박스를 사용하는 Java 배포에 적용됩니다.
이 취약성에 대한 자세한 내용은 NIST의 국가 취약성 데이터베이스(https://nvd.nist.gov/vuln/detail/CVE-2020-14803)에서 확인할 수 있습니다.
Cause
DPA에서 사용하는 Java 버전은 1.8 u271(DPA 19.4 b36 기준)이지만 DPA Java JVM은 이 취약성의 영향을 받지 않습니다. 다음을 참조하십시오.
이 취약성은 DPA가 아닌 Java Webstart 애플리케이션에 적용됩니다. NIST National Vulnerability Database(https://nvd.nist.gov/vuln/detail/CVE-2020-14803)의 CVE 설명에 명시된 바와 같이 내용은 아래와 같습니다.
이 내용은 Oracle에서 발행한 보안 알림 설명(https://www.oracle.com/security-alerts/cpujan2021.html)에서도 확인할 수 있습니다.
DPA의 Java JVM은 신뢰할 수 없는 코드의 실행을 로드하거나 허용하지 않습니다. 다음은 CVE 설명과 관련된 DPA의 JVM 구현에 대한 자세한 정보입니다.
DPA Engineering 팀에서는 이 취약성 보고서에 대해 타사 라이브러리 검색, 소스 코드 분석 및 웹 애플리케이션 보안 테스트를 수행했습니다. DPA에 대해 수행되는 이러한 검사 및 테스트에서 이러한 공격은 가능하지 않은 것으로 나타났습니다.
이 취약성은 DPA가 아닌 Java Webstart 애플리케이션에 적용됩니다. NIST National Vulnerability Database(https://nvd.nist.gov/vuln/detail/CVE-2020-14803)의 CVE 설명에 명시된 바와 같이 내용은 아래와 같습니다.
이 취약성은 주로 샌드박스된 Java Web Start 애플리케이션 또는 샌드박스된 Java 애플릿을 실행하는 클라이언트에서 신뢰할 수 없는 코드(예: 인터넷에서 제공되는 코드)를 로드 및 실행하고 보안을 위해 Java 샌드박스를 사용하는 Java 배포에 적용됩니다. 일반적으로 서버에서 신뢰할 수 있는 코드만 로드 및 실행하는 Java 배포에는 이 취약성이 적용되지 않습니다.
이 내용은 Oracle에서 발행한 보안 알림 설명(https://www.oracle.com/security-alerts/cpujan2021.html)에서도 확인할 수 있습니다.
DPA의 Java JVM은 신뢰할 수 없는 코드의 실행을 로드하거나 허용하지 않습니다. 다음은 CVE 설명과 관련된 DPA의 JVM 구현에 대한 자세한 정보입니다.
Java Sandbox - DPA는 Dell BSAFE crypto 라이브러리를 사용합니다. 이는 DPA 애플리케이션 서버가 실행되는 동일한 JVM에서 실행됩니다. DPA가 '코드 보안'을 유지하는 Sandbox라는 고립된 공간은 없습니다. 신뢰할 수 없는 코드가 JVM에서 실행될 수 있을 때 작동합니다.
신뢰할 수 없는 코드 - 이 범위는 일반적으로 Java 애플릿을 Java 프로그램 내에서 다운로드하여 실행할 때 고려됩니다. 이러한 경우 소스를 알 수 없기 때문에 다운로드한 부분이 신뢰할 수 없는 코드로 표시되는 경우가 많습니다. DPA의 패러다임에서는 DPA 서버의 JVM에서 다운로드되고 실행되는 애플릿 코드를 사용하는 옵션이 없는 경우 현장에서 설치 및 구축이 수행됩니다.
신뢰할 수 없는 코드 - 이 범위는 일반적으로 Java 애플릿을 Java 프로그램 내에서 다운로드하여 실행할 때 고려됩니다. 이러한 경우 소스를 알 수 없기 때문에 다운로드한 부분이 신뢰할 수 없는 코드로 표시되는 경우가 많습니다. DPA의 패러다임에서는 DPA 서버의 JVM에서 다운로드되고 실행되는 애플릿 코드를 사용하는 옵션이 없는 경우 현장에서 설치 및 구축이 수행됩니다.
DPA Engineering 팀에서는 이 취약성 보고서에 대해 타사 라이브러리 검색, 소스 코드 분석 및 웹 애플리케이션 보안 테스트를 수행했습니다. DPA에 대해 수행되는 이러한 검사 및 테스트에서 이러한 공격은 가능하지 않은 것으로 나타났습니다.
Resolution
Java 1.8u271에 취약성이 존재하지만 DPA Java JVM은 이 취약성의 영향을 받지 않습니다.
Data Protection Advisor 19.5 이상에서 해결되었습니다. DPA 19.5 이상은 Java 1.8u281 이상과 함께 제공됩니다.
자세한 내용이나 정보는 Dell 기술 지원 부서에 문의하십시오.
Data Protection Advisor 19.5 이상에서 해결되었습니다. DPA 19.5 이상은 Java 1.8u281 이상과 함께 제공됩니다.
자세한 내용이나 정보는 Dell 기술 지원 부서에 문의하십시오.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.