JavaランタイムのアップグレードによるOpenManage Server AdministratorのJava脆弱性の軽減

サード パーティー製のセキュリティ スキャナー アプリケーションは、Dell OpenManage Server AdministratorにバンドルされているJava 11 Runtime Environmentライブラリーの存在を検出し、多くのセキュリティ脆弱性を特定する場合があります。多くのスキャナーは通常、OpenJDK 11 プロジェクトによって文書化されたすべての既知の脆弱性を一覧表示します。

Javaはアプリケーション プログラミング環境であり、Server Administratorが使用しない特定のライブラリーまたは機能に脆弱性が適用されるため、ほとんどのJavaセキュリティー脆弱性はServer Administratorには適用されないことが一般的に確認されています。

ただし、Server Administratorは、OMSAにバンドルされているJava 11バージョンよりも新しい、オペレーティング システム内にインストールされている代替Java Runtime Environmentバージョン11をロードできます。これは、以下の 解決 手順で実現できます。

一部のサードパーティのセキュリティスキャナーは、オペレーティングシステム内の単純なファイルベースのスキャンと、代わりに新しい代替Javaランタイムがロードされているにもかかわらず、バンドルされた古いJava 11を検出するため、誤検知の警告を報告します。バンドルされている古いJava 11のスワップ アウトは、以下の 解決 手順で実行できます。

Server Administrator 10.3以降のバージョンはテスト済みで、無料のEclipse Temurin(旧Adoptium)OpenJDK 11プロジェクトのみがテストされ、正式にサポートされています。Temurin Java 11, Standard Editionインストール パッケージのWindows版およびLinux版は、以下からダウンロードできます https://adoptium.net/temurin/releases/?version=11



メモ: Server Administrator は Java 11 バージョンのみをサポートします。Java 17以降のOpenJDKプロジェクトをダウンロードまたは使用しないでください。アプリケーション プログラミング インターフェイスには、Server Administratorグラフィカル インターフェイス機能に影響を与える可能性のある新しいJava関数、非推奨のJava関数、および変更されたJava関数が含まれているためです。

Server Administrator の代替 Temurin Java 11 環境のロードの指定

1. AdoptiumのWebサイトから、アーキテクチャ「x64」の小さな「JRE」パッケージのWindowsまたはLinuxバージョンをダウンロードします
2. 指示に従って、代替Javaランタイム パッケージを各ホストで、またはサード パーティの導入ツールを使用してオペレーティング システムにインストールします
3. ブラウザからServer Administrator Webグラフィカル インターフェイスを起動します。
4. [設定](右上のページ)に移動し、[一般設定](左の余白)に移動します
5. [Java Runtime Environment]セクションまで下にスクロールし、[System JRE/JDK]を有効にします
6. Server Administrator が、インストールされている既存の代替 Java ランタイムを認識すると、プルダウンメニューにそのバージョンが表示されます
7. [適用]ボタンをクリックすると、Server Administrator Webサービスが再起動します。

または、このプリファレンス設定は、Server Administratorコマンド ラインを使用してプログラムで変更することもできます。これは、間違いを犯してWebインターフェイスにアクセスできなくなった場合にも役立ちます。現在検出された代替Javaバージョンを一覧表示するには、次のようにします。

omreport preferences webserver attribute=getjrelist

設定を変更するには、次の手順を実行します。

omconfig preferences webserver attribute=setjre jreversion=<version>

Windowsでは「DSM SA Connection Service」を、Linuxでは「dsm_om_connsvc.service」を再起動します。

間違いを犯してWebインターフェイスにアクセスできなくなった場合に、Server Administrator内の優先Javaランタイムをバンドル バージョンに戻すには、次の手順を実行します。

omconfig preferences webserver attribute=setjre jreversion=<version>

Server Administrator にバンドルされている Java ランタイムの置き換え

注：この方法では手動で導入する必要があり、ファイルベースのセキュリティ スキャナーからの誤検出レポートに対処する場合にのみ推奨されます。交換用Javaランタイムのバージョンは、Server Administrator Webインターフェイスのソフトウェアページにも反映されません。

メモ：Server Administrator は Java 11 バージョンのみをサポートします。Java 17以降のOpenJDKプロジェクトをダウンロードまたは使用しないでください。アプリケーション プログラミング インターフェイスには、Server Administratorグラフィカル インターフェイス機能に影響を与える可能性のある新しいJava関数、非推奨のJava関数、および変更されたJava関数が含まれているためです。

1. AdoptiumのWebサイトから、アーキテクチャ「x64」の小さな「JRE」パッケージのWindowsまたはLinuxバージョンをダウンロードします。.zip形式または.tar.gz形式をそれぞれ選択してください。
2. ファイル名が「jre」に変更されたフォルダーにファイルの内容全体を抽出します
3. Windowsでは「DSM SA Connection Service」を、Linuxでは「dsm_om_connsvc.service」を停止します。
4. 既存のフォルダーC:\Program Files\Dell\SysMgmt\jre\ (Windows)または/opt/dell/srvadmin/lib64/openmanage/jre/ (Linux)をバックアップするように名前を変更します。
5. 最近フォルダー名が「jre」に変更された、新しくダウンロードしたテムリア語Java 11ランタイム パッケージと入れ替えます
6. Server Administrator Webサービスを起動します。