Data Protection Advisor (DPA): Sikkerhedsscanninger angiver, at Data Protection Advisor bruger Java 1.8u271, som har kendskab til sårbarheder
Summary: Sikkerhedsscanninger angiver, at Data Protection Advisor bruger Java 1.8u271, som har sikkerhedsrisici.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Sikkerhedsscanner (f.eks.: Nessus) angiver, at Data Protection Advisor (DPA) bruger Java-version 1.8u271 (DPA 19.4 b36 og nyere), som har kendte sårbarheder. Scanningen henviser til nedenstående sårbarhed for Java 1.8 u271.
Yderligere oplysninger om denne sårbarhed findes i NIST's National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE-risikomatrix
Denne kritiske patchopdatering indeholder 1 ny sikkerhedsrettelse til Oracle Java SE. Denne sårbarhed kan udnyttes via fjernadgang uden godkendelse, dvs. kan udnyttes over et netværk uden at kræve brugerlegitimationsoplysninger.
CVE-2020-14803 Java SE, Java SE Integrerede biblioteker flere Ja 5.3 netværk lavt ingen ingen uændret lav Ingen Ingen Java SE: 7u281, 8u271; Java SE indlejret: Bemærkninger til 8u271:
Denne sikkerhedsrisiko gælder for Java-implementeringer, der indlæser og kører upålidelig kode (f.eks. kode, der kommer fra internettet) og er afhængige af Java-sandkasse for sikkerhed.
Denne kritiske patchopdatering indeholder 1 ny sikkerhedsrettelse til Oracle Java SE. Denne sårbarhed kan udnyttes via fjernadgang uden godkendelse, dvs. kan udnyttes over et netværk uden at kræve brugerlegitimationsoplysninger.
CVE-2020-14803 Java SE, Java SE Integrerede biblioteker flere Ja 5.3 netværk lavt ingen ingen uændret lav Ingen Ingen Java SE: 7u281, 8u271; Java SE indlejret: Bemærkninger til 8u271:
Denne sikkerhedsrisiko gælder for Java-implementeringer, der indlæser og kører upålidelig kode (f.eks. kode, der kommer fra internettet) og er afhængige af Java-sandkasse for sikkerhed.
Yderligere oplysninger om denne sårbarhed findes i NIST's National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Cause
Selvom den version af Java, der anvendes af DPA, er 1.8 u271 (pr. DPA 19.4 b36), påvirkes DPA Java JVM ikke af denne sikkerhedsrisiko. Se følgende:
Denne sikkerhedsrisiko gælder for Java Webstart-programmer og ikke for DPA. Som det er anført i CVE-beskrivelsen fra NIST National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803,fremgår det som nedenfor:
Dette bekræftes også i beskrivelsen af sikkerhedsadvarsler, der udstedes af Oracle på https://www.oracle.com/security-alerts/cpujan2021.html.
DPA's Java JVM indlæser ikke eller tillader ikke kørsel af upålidelig kode. Her er mere specifikke detaljer om DPA's JVM-implementering med hensyn til CVE-beskrivelsen.
DPA Engineering har udført tredjepartsbiblioteksscanninger, kildekodeanalyse og webprogramsikkerhedstest omkring denne sårbarhedsrapport. Disse scanninger og test, der udføres mod DPA, har vist, at sådanne angreb ikke er mulige.
Denne sikkerhedsrisiko gælder for Java Webstart-programmer og ikke for DPA. Som det er anført i CVE-beskrivelsen fra NIST National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803,fremgår det som nedenfor:
Denne sikkerhedsrisiko gælder for Java-implementeringer, typisk i klienter, der kører sandkasserede Java-webstartprogrammer eller sandkasserede Java-applets, der indlæser og kører upålidelig kode (f.eks. kode, der kommer fra internettet) og er baseret på Java-sandkasse for sikkerhed. Denne sikkerhedsrisiko gælder ikke for Java-implementeringer, typisk på servere, der kun indlæser og kører betroet kode.
Dette bekræftes også i beskrivelsen af sikkerhedsadvarsler, der udstedes af Oracle på https://www.oracle.com/security-alerts/cpujan2021.html.
DPA's Java JVM indlæser ikke eller tillader ikke kørsel af upålidelig kode. Her er mere specifikke detaljer om DPA's JVM-implementering med hensyn til CVE-beskrivelsen.
Java Sandkasse - DPA bruger Dell BSafe-kryptobiblioteket. Dette kører i samme JVM, hvor DPA-programserveren kører på. Der er ingen isoleret plads, der selv kaldes Sandkasse, hvor DPA opretholder "kodesikkerhed". Det kommer i spil, når plausibel upålidelig kode kan køre på et JVM.
Upålidelig kode - Omfanget af dette tages typisk i betragtning, når Java-applets downloades og køres inde i et Java-program. I sådanne tilfælde, da kilden ikke er kendt, er den downloadede enhed, der ofte anses for at være upålidelig kode. I DPA's paradigme sker installationen og/eller implementeringen onsite uden mulighed for at have en sådan appletkode downloadet og kørt i DPA-serverens JVM.
Upålidelig kode - Omfanget af dette tages typisk i betragtning, når Java-applets downloades og køres inde i et Java-program. I sådanne tilfælde, da kilden ikke er kendt, er den downloadede enhed, der ofte anses for at være upålidelig kode. I DPA's paradigme sker installationen og/eller implementeringen onsite uden mulighed for at have en sådan appletkode downloadet og kørt i DPA-serverens JVM.
DPA Engineering har udført tredjepartsbiblioteksscanninger, kildekodeanalyse og webprogramsikkerhedstest omkring denne sårbarhedsrapport. Disse scanninger og test, der udføres mod DPA, har vist, at sådanne angreb ikke er mulige.
Resolution
Selvom sikkerhedsrisikoen findes i Java 1.8u271, påvirkes DPA Java JVM ikke af denne sikkerhedsrisiko.
Løst i Data Protection Advisor 19.5 og nyere. DPA 19.5 og nyere leveres med Java 1.8u281 eller nyere.
Kontakt Dells tekniske support for at få yderligere oplysninger.
Løst i Data Protection Advisor 19.5 og nyere. DPA 19.5 og nyere leveres med Java 1.8u281 eller nyere.
Kontakt Dells tekniske support for at få yderligere oplysninger.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.