Zmírnění chyb zabezpečení Java v nástroji OpenManage Server Administrator pomocí upgradu Java Runtime

Aplikace bezpečnostního skeneru třetích stran může detekovat přítomnost knihoven běhového prostředí Java 11 přibalených v nástroji Dell OpenManage Server Administrator a identifikovat mnoho chyb zabezpečení. Mnoho skenerů obvykle obsahuje seznam všech známých ohrožení zabezpečení zdokumentovaných projekty OpenJDK 11.

Java je aplikační programovací prostředí, takže se obvykle zjistí, že většina chyb zabezpečení Java se nevztahuje na správce serveru, protože se chyba zabezpečení vztahuje na konkrétní knihovnu nebo funkci, kterou správce serveru nepoužívá.

Správce serveru však může načíst alternativní běhové prostředí Java verze 11 nainstalované v operačním systému, které může být novější než verze Java 11 dodávaná v nástroji OMSA. Toho lze dosáhnout pomocí níže uvedených kroků řešení .

Některé bezpečnostní skenery třetích stran stále hlásí falešně pozitivní varování kvůli jednoduchému skenování souborů v operačním systému a detekci zastaralého přibaleného Java 11, i když je místo toho načteno novější alternativní běhové prostředí Java. Výměnu starší přibalené Javy 11 lze provést v krocích řešení níže.

Server Administrator 10.3 a novější verze byly testovány a oficiálně podporují bezplatný projekt Eclipse Temurin (dříve Adoptium) OpenJDK 11. Instalační balíček Temurin Java 11, Standard Edition pro Windows a Linux lze stáhnout z adresy https://adoptium.net/temurin/releases/?version=11



Poznámka: Nástroj Server Administrator podporuje pouze verze Java 11. Nestahujte ani nepoužívejte projekty OpenJDK v Javě 17 nebo novější, protože jejich aplikační programovací rozhraní obsahuje novější, zastaralé a změněné funkce Java, které by mohly mít vliv na funkci grafického rozhraní nástroje Server Administrator.

Určení správce serveru Načtení alternativního prostředí Temurin Java 11

1. Z webových stránek Adoptium si stáhněte Windows nebo Linuxovou verzi menšího balíčku "JRE" s architekturou "x64"
2. Postupujte podle pokynů k instalaci alternativního běhového balíčku Java do operačního systému, a to buď na jednotlivých hostitelích, nebo pomocí nástrojů pro nasazení třetích stran
3. Spusťte webové grafické rozhraní nástroje Server Administrator z prohlížeče.
4. Přejděte na Předvolby (pravá horní stránka) a poté na Obecná nastavení (na levém okraji)
5. Přejděte dolů do části Java Runtime Environment a povolte systémové prostředí JRE/JDK.
6. Pokud nástroj Server Administrator rozpozná již existující nainstalované alternativní běhové prostředí Java, uvede verzi v rozevírací nabídce
7. Klikněte na tlačítko Apply a musí dojít k restartování webové služby Server Administrator.

Toto nastavení předvoleb lze také změnit programově pomocí příkazového řádku nástroje Server Administrator. To je užitečné i v případě, že došlo k chybě a webové rozhraní již není přístupné. Chcete-li zobrazit seznam aktuálních zjištěných alternativních verzí Javy:

omreport preferences webserver attribute=getjrelist

Chcete-li změnit nastavení:

omconfig preferences webserver attribute=setjre jreversion=<version>

Restartujte službu připojení DSM SA v systému Windows nebo "dsm_om_connsvc.service" v systému Linux.

Změna preferovaného běhového prostředí Java zpět na přibalenou verzi v nástroji Server Administrator v případě, že došlo k chybě a webové rozhraní již není přístupné:

omconfig preferences webserver attribute=setjre jreversion=<version>

Výměna modulu Java Runtime sdruženého v nástroji Server Administrator

Poznámka: Tato metoda vyžaduje ruční nasazení a doporučuje se pouze k řešení falešně pozitivních zpráv ze skeneru zabezpečení založeného na souborech. Verze náhradního modulu Java runtime se také neprojeví na stránce Software ve webovém rozhraní nástroje Server Administrator.

Poznámka: Nástroj Server Administrator podporuje pouze verze Java 11. Nestahujte ani nepoužívejte projekty OpenJDK v Javě 17 nebo novější, protože jejich aplikační programovací rozhraní obsahuje novější, zastaralé a změněné funkce Java, které by mohly mít vliv na funkci grafického rozhraní nástroje Server Administrator.

1. Z webu Adoptium si stáhněte Windows nebo Linux menší balíček "JRE" s architekturou "x64". Ujistěte se, že jste vybrali formát .zip nebo .tar.gz.
2. Rozbalte celý obsah souboru do složky přejmenované na "jre".
3. Zastavte službu "DSM SA Connection Service" v systému Windows nebo "dsm_om_connsvc.service" v systému Linux.
4. Přejmenujte, aby se zálohovala stávající složka C:\Program Files\Dell\SysMgmt\jre\ (Windows) nebo /opt/dell/srvadmin/lib64/openmanage/jre/ (Linux).
5. Vyměňte za novější stažený běhový balíček Temurian Java 11, jehož složka byla nedávno přejmenována na "jre"
6. Spusťte webovou službu Server Administrator.