Data Protection Advisor (DPA): Säkerhetsgenomsökningar visar att Data Protection Advisor använder Java 1.8u271 som har känt till sårbarheter
Summary: Säkerhetsgenomsökningar visar att Data Protection Advisor använder Java 1.8u271 som har säkerhetsproblem.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Säkerhetsgenomsökning (exempel: Nessus) indikerar att Data Protection Advisor (DPA) använder Java-version 1.8u271 (DPA 19.4 b36 och senare) som har kända säkerhetsproblem. Genomsökningen hänvisar till nedanstående säkerhetsproblem för Java 1.8 u271.
Mer information om det här säkerhetsproblemet finns i NIST:s nationella sårbarhetsdatabas på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Riskmatris för Oracle Java SE
Den här viktiga korrigeringsuppdateringen innehåller en ny säkerhetskorrigering för Oracle Java SE. Det här säkerhetsproblemet kan utnyttjas via fjärranslutning utan autentisering, vilket innebär att det kan utnyttjas över ett nätverk utan att det krävs användaruppgifter.
CVE-2020-14803 Java SE, inbäddade Java SE-bibliotek med flera Yes 5.3 Network Low None Av-changed Low None Java SE: 7u281, 8u271; Inbäddad Java SE: Anmärkningar för 8u271:
Det här säkerhetsproblemet gäller Java-distributioner som laddar och kör icke-betrodd kod (t.ex. kod som kommer från internet) och förlitar sig på Java sandbox för säkerhet.
Den här viktiga korrigeringsuppdateringen innehåller en ny säkerhetskorrigering för Oracle Java SE. Det här säkerhetsproblemet kan utnyttjas via fjärranslutning utan autentisering, vilket innebär att det kan utnyttjas över ett nätverk utan att det krävs användaruppgifter.
CVE-2020-14803 Java SE, inbäddade Java SE-bibliotek med flera Yes 5.3 Network Low None Av-changed Low None Java SE: 7u281, 8u271; Inbäddad Java SE: Anmärkningar för 8u271:
Det här säkerhetsproblemet gäller Java-distributioner som laddar och kör icke-betrodd kod (t.ex. kod som kommer från internet) och förlitar sig på Java sandbox för säkerhet.
Mer information om det här säkerhetsproblemet finns i NIST:s nationella sårbarhetsdatabas på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Cause
Den Java-version som används av DPA är 1.8 u271 (från och med DPA 19.4 b36), men DPA Java JVM påverkas inte av det här säkerhetsproblemet. Se följande:
Det här säkerhetsproblemet gäller för Java Webstart-program och inte DPA. Som nämnts i CVE-beskrivningen från NIST:s nationella sårbarhetsdatabas på https://nvd.nist.gov/vuln/detail/CVE-2020-14803står det enligt nedan:
Det här bekräftas även i säkerhetsvarningsbeskrivningen som utfärdas av Oracle i https://www.oracle.com/security-alerts/cpujan2021.html.
DPA:s Java JVM läses inte in eller tillåter körning av ej betrodd kod. Här är mer specifika detaljer om DPA:s JVM-implementering med avseende på CVE-beskrivningen.
DPA-teknikerna har utfört genomsökningar av tredjepartsbibliotek, källkodsanalys och webbprogramssäkerhetstestning runt den här säkerhetsproblemsrapporten. Dessa genomsökningar och tester som utförs mot DPA har visat att sådana attacker inte är möjliga.
Det här säkerhetsproblemet gäller för Java Webstart-program och inte DPA. Som nämnts i CVE-beskrivningen från NIST:s nationella sårbarhetsdatabas på https://nvd.nist.gov/vuln/detail/CVE-2020-14803står det enligt nedan:
Det här säkerhetsproblemet gäller Java-distributioner, vanligtvis på klienter som kör sandboxed Java Web Start-program eller sandboxade Java-appletar, som läser in och kör icke-betrodd kod (t.ex. kod som kommer från internet) och förlitar sig på Java sandbox för säkerhet. Det här säkerhetsproblemet gäller inte Java-distributioner, vanligtvis på servrar, som läser in och kör endast betrodd kod.
Det här bekräftas även i säkerhetsvarningsbeskrivningen som utfärdas av Oracle i https://www.oracle.com/security-alerts/cpujan2021.html.
DPA:s Java JVM läses inte in eller tillåter körning av ej betrodd kod. Här är mer specifika detaljer om DPA:s JVM-implementering med avseende på CVE-beskrivningen.
Java Sandbox – DPA använder krypteringsbiblioteket Dell BSafe. Det här körs på samma JVM-server där DPA-programservern körs. Det finns inget avstängt utrymme självt, kallat Sandbox, där DPA upprätthåller kodsäkerhet. Det spelar in när en icke-betrodd kod kan köras på en JVM.
Icke-betrodd kod – omfattningen av detta beaktas vanligtvis när Java-appletar hämtas och körs i ett Java-program. I sådana fall, eftersom källan inte är känd, den nedladdade komponenten som ofta ses som icke-betrodd kod. I DPA:s paradigm inträffar installationen och distributionen på plats, eftersom det inte finns någon sådan appletkod som laddas ner och körs i DPA-serverns JVM.
Icke-betrodd kod – omfattningen av detta beaktas vanligtvis när Java-appletar hämtas och körs i ett Java-program. I sådana fall, eftersom källan inte är känd, den nedladdade komponenten som ofta ses som icke-betrodd kod. I DPA:s paradigm inträffar installationen och distributionen på plats, eftersom det inte finns någon sådan appletkod som laddas ner och körs i DPA-serverns JVM.
DPA-teknikerna har utfört genomsökningar av tredjepartsbibliotek, källkodsanalys och webbprogramssäkerhetstestning runt den här säkerhetsproblemsrapporten. Dessa genomsökningar och tester som utförs mot DPA har visat att sådana attacker inte är möjliga.
Resolution
Även om säkerhetsproblemet finns i Java 1.8u271 påverkas INTE DPA Java JVM av det här säkerhetsproblemet.
Har lösts i Data Protection Advisor 19.5 och senare. DPA 19.5 och senare levereras med Java 1.8u281 eller senare.
Kontakta Dells tekniska support om du vill ha mer information.
Har lösts i Data Protection Advisor 19.5 och senare. DPA 19.5 och senare levereras med Java 1.8u281 eller senare.
Kontakta Dells tekniska support om du vill ha mer information.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.