Data Protection Advisor (DPA): Bezpečnostní kontroly ukazují, že nástroj Data Protection Advisor používá verzi Java 1.8u271, která obsahuje známé chyby zabezpečení
Summary: Bezpečnostní kontroly ukazují, že nástroj Data Protection Advisor používá verzi Java 1.8u271, která obsahuje chyby zabezpečení.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Nástroj bezpečnostní kontroly (například Nessus) uvádí, že nástroj Data Protection Advisor (DPA) používá verzi Java 1.8u271 (DPA 19.4 b36 a novější), která obsahuje známé chyby zabezpečení. Kontrola zobrazuje níže uvedenou chybu zabezpečení verze Java 1.8 u271.
Další podrobnosti o této chybě zabezpečení naleznete v národní databázi chyb zabezpečení NIST na adrese https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE Risk Matrix
This Critical Patch Update contains 1 new security patch for Oracle Java SE. This vulnerability is remotely exploitable without authentication, that is, may be exploited over a network without requiring user credentials.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notes: This vulnerability applies to Java deployments that load and run untrusted code (such as, code that comes from the Internet) and rely on the Java sandbox for security.
This Critical Patch Update contains 1 new security patch for Oracle Java SE. This vulnerability is remotely exploitable without authentication, that is, may be exploited over a network without requiring user credentials.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notes: This vulnerability applies to Java deployments that load and run untrusted code (such as, code that comes from the Internet) and rely on the Java sandbox for security.
Další podrobnosti o této chybě zabezpečení naleznete v národní databázi chyb zabezpečení NIST na adrese https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Cause
Ačkoli nástroj DPA (od verze DPA 19.4 b36) používá verzi Java 1.8 u271, virtuálního počítače DPA Java se tato chyba zabezpečení netýká. Viz následující část:
Tato chyba zabezpečení se týká aplikací Java Webstart, nikoli nástroje DPA. Jak je uvedeno v popisu CVE v národní databázi chyb zabezpečení NIST (National Vulnerability Database) na adrese https://nvd.nist.gov/vuln/detail/CVE-2020-14803:
To je také potvrzeno v popisu bezpečnostní výstrahy vydaném společností Oracle na adrese https://www.oracle.com/security-alerts/cpujan2021.html
Virtuální počítač Java nástroje DPA se nenačte ani nepovolí spuštění nedůvěryhodného kódu. Zde jsou uvedeny podrobnější informace o implementaci virtuálního počítače Java nástroje DPA s ohledem na popis CVE.
Technický tým DPA provedl u tohoto hlášení o chybě zabezpečení kontroly knihovny třetích stran, analýzu zdrojového kódu a testování zabezpečení webových aplikací. Tyto kontroly a testy prováděné na nástroji DPA ukazují, že takové útoky nejsou možné.
Tato chyba zabezpečení se týká aplikací Java Webstart, nikoli nástroje DPA. Jak je uvedeno v popisu CVE v národní databázi chyb zabezpečení NIST (National Vulnerability Database) na adrese https://nvd.nist.gov/vuln/detail/CVE-2020-14803:
Tato chyba zabezpečení se týká nasazení Java, obvykle v klientech, kteří používají izolované aplikace Java Web Start nebo izolované aplety Java, které načítají a spouštějí nedůvěryhodný kód (například kód pocházející z internetu) a v otázkách bezpečnosti se spoléhají na prostředí Java Sandbox. Tato chyba zabezpečení se nevztahuje na nasazení Java, obvykle na serverech, které načítá a spouští pouze důvěryhodný kód.
To je také potvrzeno v popisu bezpečnostní výstrahy vydaném společností Oracle na adrese https://www.oracle.com/security-alerts/cpujan2021.html
Virtuální počítač Java nástroje DPA se nenačte ani nepovolí spuštění nedůvěryhodného kódu. Zde jsou uvedeny podrobnější informace o implementaci virtuálního počítače Java nástroje DPA s ohledem na popis CVE.
Java Sandbox – Nástroj DPA používá šifrovací knihovnu Dell BSafe. Ta se spouští ve stejném virtuálním počítači Java, na kterém běží aplikační server DPA. Neexistuje žádné samostatné místo nazývané Sandbox, kde by nástroj DPA udržoval zabezpečení kódu. Do hry přichází ve chvíli, kdy by mohlo dojít ke spuštění potenciálně nedůvěryhodného kódu na virtuálním počítači Java.
Nedůvěryhodný kód – obvykle je třeba postupovat opatrně, když jsou aplety Java staženy a spuštěny v programu Java. V takových případech je stažený soubor často považován za nedůvěryhodný kód, protože zdroj není znám. V modelu DPA dochází k instalaci či nasazení přímo v zařízení, což vyřazuje možnost stažení a spuštění takového kódu apletu ve virtuálním počítači Java na serveru DPA.
Nedůvěryhodný kód – obvykle je třeba postupovat opatrně, když jsou aplety Java staženy a spuštěny v programu Java. V takových případech je stažený soubor často považován za nedůvěryhodný kód, protože zdroj není znám. V modelu DPA dochází k instalaci či nasazení přímo v zařízení, což vyřazuje možnost stažení a spuštění takového kódu apletu ve virtuálním počítači Java na serveru DPA.
Technický tým DPA provedl u tohoto hlášení o chybě zabezpečení kontroly knihovny třetích stran, analýzu zdrojového kódu a testování zabezpečení webových aplikací. Tyto kontroly a testy prováděné na nástroji DPA ukazují, že takové útoky nejsou možné.
Resolution
Přestože se chyba zabezpečení týká verze Java 1.8u271, virtuální počítač Java nástroje DPA není ovlivněn.
Problém je vyřešen v nástroji Data Protection Advisor 19.5 a novějším. Nástroj DPA 19.5 a novější se dodává s verzí Java 1.8u281 nebo novější.
Další podrobnosti a informace vám poskytne technická podpora společnosti Dell.
Problém je vyřešen v nástroji Data Protection Advisor 19.5 a novějším. Nástroj DPA 19.5 a novější se dodává s verzí Java 1.8u281 nebo novější.
Další podrobnosti a informace vám poskytne technická podpora společnosti Dell.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.