Data Protection Advisor (DPA): Skanowanie zabezpieczeń wskazuje, że Data Protection Advisor używa oprogramowania Java 1.8u271, które ma znane luki w zabezpieczeniach
Summary: Skanowanie zabezpieczeń wskazuje, że Data Protection Advisor używa oprogramowania Java 1.8u271, które ma luki w zabezpieczeniach.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Skaner zabezpieczeń (przykład: Nessus) wskazuje, że Data Protection Advisor (DPA) wykorzystuje oprogramowanie Java w wersji 1.8u271 (DPA 19.4 b36 lub nowszej), który ma znane luki w zabezpieczeniach. Skanowanie odnosi się do poniższej luki w zabezpieczeniach oprogramowania Java 1.8 u271.
Więcej informacji na temat tej luki w zabezpieczeniach można znaleźć w krajowej bazie danych o lukach w zabezpieczeniach NIST pod adresem https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Tabela ryzyka Oracle Java SE
Ta krytyczna aktualizacja poprawki zawiera 1 nową poprawkę zabezpieczeń dla oprogramowania Oracle Java SE. Ta luka w zabezpieczeniach może być wykorzystywana zdalnie bez uwierzytelniania, co oznacza, że może zostać wykorzystana w sieci bez konieczności użycia poświadczeń użytkownika.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Uwagi: Ta luka dotyczy wdrożeń Java, które ładują i uruchamiają niezaufany kod (na przykład kod pochodzący z Internetu) i polegają na środowisku Java sandbox w celu zabezpieczenia.
Ta krytyczna aktualizacja poprawki zawiera 1 nową poprawkę zabezpieczeń dla oprogramowania Oracle Java SE. Ta luka w zabezpieczeniach może być wykorzystywana zdalnie bez uwierzytelniania, co oznacza, że może zostać wykorzystana w sieci bez konieczności użycia poświadczeń użytkownika.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Uwagi: Ta luka dotyczy wdrożeń Java, które ładują i uruchamiają niezaufany kod (na przykład kod pochodzący z Internetu) i polegają na środowisku Java sandbox w celu zabezpieczenia.
Więcej informacji na temat tej luki w zabezpieczeniach można znaleźć w krajowej bazie danych o lukach w zabezpieczeniach NIST pod adresem https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Cause
Chociaż wersja języka Java używana przez DPA to 1.8 u271 (od DPA 19.4 b36), ta luka nie wpływa na DPA Java JVM. Zapoznaj się z następującymi informacjami:
Ta luka dotyczy aplikacji Java Webstart, a nie DPA. Jak wskazano w opisie CVE z krajowej bazy danych o lukach w zabezpieczeniach NIST w https://nvd.nist.gov/vuln/detail/CVE-2020-14803, brzmi to następująco:
Zostało to również potwierdzone w opisie alertu bezpieczeństwa wydawanego przez firmę Oracle pod adresem https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM DPA nie ładuje się ani nie zezwala na uruchamianie niezaufanego kodu. Poniżej przedstawiono więcej szczegółów na temat implementacji JVM DPA w odniesieniu do opisu CVE.
W związku z tym raportem o lukach w zabezpieczeniach DPA Engineering przeprowadził skanowanie bibliotek innych firm, analizę kodu źródłowego i testowanie zabezpieczeń aplikacji internetowych. Te skany i testy wykonane w odniesieniu do DPA wykazały, że takie ataki nie są możliwe.
Ta luka dotyczy aplikacji Java Webstart, a nie DPA. Jak wskazano w opisie CVE z krajowej bazy danych o lukach w zabezpieczeniach NIST w https://nvd.nist.gov/vuln/detail/CVE-2020-14803, brzmi to następująco:
Ta luka dotyczy wdrożeń języka Java, zazwyczaj w przypadku klientów z uruchomionymi aplikacjami Java Web Start w środowisku sandboxed lub testowanymi apletami Java, które ładują i uruchamiają niezaufany kod (np. kod pochodzący z Internetu) i polegają na środowisku Java sandbox dla bezpieczeństwa. Ta luka nie ma zastosowania do wdrożeń języka Java, zazwyczaj na serwerach, które ładują i uruchamiają tylko zaufany kod.
Zostało to również potwierdzone w opisie alertu bezpieczeństwa wydawanego przez firmę Oracle pod adresem https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM DPA nie ładuje się ani nie zezwala na uruchamianie niezaufanego kodu. Poniżej przedstawiono więcej szczegółów na temat implementacji JVM DPA w odniesieniu do opisu CVE.
Java Sandbox — DPA korzysta z biblioteki Dell BSafe Crypto Library. Działa to w tym samym JVM, na którym działa serwer aplikacji DPA. Nie istnieje izolowane miejsce samo przez się nazywane jako Sandbox, w którym DPA utrzymuje „bezpieczeństwo kodu”. Pojawia się, gdy na JVM mógłby zostać uruchomiony niezaufany kod.
Niezaufany kod — jego zakres jest zwykle uwzględniany w przypadku pobierania i uruchamiania apletów Java w programie Java. W takich przypadkach pobrany element często jest postrzegany jako niezaufany kod, ponieważ nie jest znane źródło. W przypadku paradygmatu DPA instalacja i wdrożenie następuje na miejscu, uniemożliwiając pobranie i uruchomienie takiego kodu apletu w JVM serwera DPA.
Niezaufany kod — jego zakres jest zwykle uwzględniany w przypadku pobierania i uruchamiania apletów Java w programie Java. W takich przypadkach pobrany element często jest postrzegany jako niezaufany kod, ponieważ nie jest znane źródło. W przypadku paradygmatu DPA instalacja i wdrożenie następuje na miejscu, uniemożliwiając pobranie i uruchomienie takiego kodu apletu w JVM serwera DPA.
W związku z tym raportem o lukach w zabezpieczeniach DPA Engineering przeprowadził skanowanie bibliotek innych firm, analizę kodu źródłowego i testowanie zabezpieczeń aplikacji internetowych. Te skany i testy wykonane w odniesieniu do DPA wykazały, że takie ataki nie są możliwe.
Resolution
Mimo że luka w zabezpieczeniach istnieje w Java 1.8u271, luka ta nie wpływa na DPA Java JVM.
Problem rozwiązano w oprogramowaniu Data Protection Advisor w wersji 19.5 i nowszych. DPA w wersji 19.5 lub nowszej jest dostarczane z oprogramowaniem Java 1.8u281 lub nowszym.
Aby uzyskać więcej informacji, skontaktuj się z działem pomocy technicznej firmy Dell.
Problem rozwiązano w oprogramowaniu Data Protection Advisor w wersji 19.5 i nowszych. DPA w wersji 19.5 lub nowszej jest dostarczane z oprogramowaniem Java 1.8u281 lub nowszym.
Aby uzyskać więcej informacji, skontaktuj się z działem pomocy technicznej firmy Dell.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.