Reduzindo as vulnerabilidades Java no OpenManage Server Administrator fazendo upgrade do Java Runtime

O aplicativo de scanner de segurança de terceiros pode detectar a presença das bibliotecas Java 11 Runtime Environment empacotadas do Dell OpenManage Server Administrator e identificar muitas vulnerabilidades de segurança. Muitos scanners normalmente listam todas as vulnerabilidades conhecidas documentadas por projetos OpenJDK 11.

O Java é um ambiente de programação de aplicativos, portanto, geralmente, a maioria das vulnerabilidades de segurança do Java não se aplica ao Server Administrator, pois a vulnerabilidade se aplica a uma biblioteca ou função específica que o Server Administrator não utiliza.

No entanto, o Server Administrator pode carregar um Java Runtime Environment alternativo versão 11 instalado no sistema operacional que pode ser mais recente do que a versão Java 11 empacotada no OMSA. Isso pode ser feito nas etapas de resolução abaixo.

Alguns scanners de segurança de terceiros ainda relatam avisos falso-positivos devido a varreduras simples baseadas em arquivos no sistema operacional e detectando o Java 11 empacotado desatualizado, mesmo que o Java runtime alternativo mais recente seja carregado. A troca do Java 11 empacotado mais antigo pode ser obtida nas etapas de Resolução abaixo.

O Server Administrator 10.3 e as versões mais recentes foram testadas apenas e suportam oficialmente o projeto gratuito Eclipse Temurin (anteriormente Adoptium) OpenJDK 11. As versões Windows e Linux do pacote de instalação Temurin Java 11, Standard Edition podem ser baixadas em:

https://adoptium.net/temurin/releases/?version=11

Nota: O Server Administrator suporta somente as versões do Java 11. Não faça download nem use projetos OpenJDK Java 17 ou mais recentes, pois sua Interface de Programação de Aplicativos contém funções Java mais recentes, obsoletas e alteradas que podem afetar a função da interface gráfica do Server Administrator.

Especificando o Administrador do Servidor Carregue um Ambiente Temurin Java 11 Alternativo

1. No site da Adoptium, baixe a versão Windows ou Linux do pacote "JRE" menor com arquitetura "x64"
2. Siga as instruções para instalar o pacote alternativo do Java Runtime no sistema operacional em cada host ou usando ferramentas de implementação de terceiros
3. Inicie a interface gráfica da Web do Server Administrator a partir de um navegador.
4. Acesse Preferências (página superior direita) e Configurações gerais (na margem esquerda)
5. Role para baixo até a seção Java Runtime Environment e habilite System JRE/JDK
6. Se o Server Administrator reconhecer um Java runtime alternativo instalado existente, ele listará a versão no menu suspenso
7. Clique no botão Apply e deve ocorrer uma reinicialização do serviço Web do Server Administrator.

Como alternativa, essa configuração de preferência também pode ser alterada com a linha de comando do Server Administrator programaticamente. Isso também é útil se um erro foi cometido e a interface da Web não está mais acessível. Para listar as versões alternativas atuais do Java detectadas:

omreport preferences webserver attribute=getjrelist

Para alterar a configuração:

omconfig preferences webserver attribute=setjre jreversion=<version>

Reinicie o "DSM SA Connection Service" no Windows ou o "dsm_om_connsvc.service" no Linux.

Para alterar o tempo de execução preferencial do Java de volta para a versão incluída no Server Administrator se um erro tiver sido cometido e a interface Web não estiver mais acessível:

omconfig preferences webserver attribute=setjre jreversion=<version>

Substituindo o Java Runtime incluído no Server Administrator

Nota: Esse método requer implementação manual e só é recomendado para lidar com relatórios falsos positivos de um scanner de segurança baseado em arquivo. A versão do Java runtime de substituição também não é refletida na página Software na interface Web do Server Administrator.

Nota: O Server Administrator suporta somente as versões do Java 11. Não faça download nem use projetos OpenJDK Java 17 ou mais recentes, pois sua Interface de Programação de Aplicativos contém funções Java mais recentes, obsoletas e alteradas que podem afetar a função da interface gráfica do Server Administrator.

1. No site da Adoptium, faça download da versão Windows ou Linux do pacote "JRE" menor com arquitetura "x64". Certifique-se de escolher os formatos .zip ou .tar.gz, respectivamente.
2. Extraia todo o conteúdo do arquivo para uma pasta renomeada como "jre"
3. Interrompa o "DSM SA Connection Service" no Windows ou o "dsm_om_connsvc.service" no Linux.
4. Renomeie para fazer backup da pasta existente C:\Program Files\Dell\SysMgmt\jre\ (Windows) ou /opt/dell/srvadmin/lib64/openmanage/jre/ (Linux)
5. Troque pelo pacote de tempo de execução Temurian Java 11 mais recente baixado cuja pasta foi recentemente renomeada para "jre"
6. Inicie o serviço Web do Server Administrator.