Data Protection Advisor (DPA): Beveiligingsscans geven aan dat Data Protection Advisor Java 1.8u271 gebruikt die beveiligingslekken heeft
Summary: Beveiligingsscans geven aan dat Data Protection Advisor Java 1.8u271 gebruikt met beveiligingslekken.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Beveiligingsscanner (bijvoorbeeld: Nessus) geeft aan dat Data Protection Advisor (DPA) Java versie 1.8u271 (DPA 19.4 b36 en hoger) gebruikt die bekende beveiligingslekken heeft. De scan verwijst naar het onderstaande beveiligingslek voor Java 1.8 u271.
Meer informatie over dit beveiligingslek vindt u in de NIST National Vulnerability Database op https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE Risk Matrix
Deze kritieke patch-update bevat 1 nieuwe beveiligingspatch voor Oracle Java SE. Dit beveiligingslek kan op afstand worden misbruikt zonder authenticatie, dat wil betekent dat het kan worden misbruikt via een netwerk zonder dat gebruikersreferenties nodig zijn.
CVE-2020-14803 Java SE, Java SE embedded libraries Multiple Yes 5.3 Network Low None None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
opmerkingen: Dit beveiligingslek is van toepassing op Java-implementaties die onbetrouwbare code laden en uitvoeren (zoals code die afkomstig is van internet) en voor beveiliging vertrouwen op de Java Sandbox.
Deze kritieke patch-update bevat 1 nieuwe beveiligingspatch voor Oracle Java SE. Dit beveiligingslek kan op afstand worden misbruikt zonder authenticatie, dat wil betekent dat het kan worden misbruikt via een netwerk zonder dat gebruikersreferenties nodig zijn.
CVE-2020-14803 Java SE, Java SE embedded libraries Multiple Yes 5.3 Network Low None None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
opmerkingen: Dit beveiligingslek is van toepassing op Java-implementaties die onbetrouwbare code laden en uitvoeren (zoals code die afkomstig is van internet) en voor beveiliging vertrouwen op de Java Sandbox.
Meer informatie over dit beveiligingslek vindt u in de NIST National Vulnerability Database op https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Cause
Hoewel de versie van Java die door DPA wordt gebruikt 1.8 u271 is (vanaf DPA 19.4 b36), wordt de DPA Java JVM niet beïnvloed door dit beveiligingslek. Zie het volgende:
Dit beveiligingslek is van toepassing op Java Webstart-applicaties en niet op DPA. Zoals aangegeven in de CVE-beschrijving van de NIST National Vulnerability Database op https://nvd.nist.gov/vuln/detail/CVE-2020-14803,wordt het als volgt gelezen:
Dit wordt ook bevestigd in de beschrijving van de beveiligingswaarschuwing die door Oracle op https://www.oracle.com/security-alerts/cpujan2021.htmlwordt uitgegeven.
Java JVM van DPA laadt of staat het uitvoeren van niet-vertrouwde code niet toe. Hier zijn meer specifieke details over de JVM-implementatie van DPA met betrekking tot de CVE-beschrijving.
DPA Engineering heeft externe bibliotheekscans, broncodeanalyses en webapplicatiebeveiligingstests uitgevoerd rond dit beveiligingslekrapport. Deze scans en tests die worden uitgevoerd op DPA hebben aangetoond dat dergelijke aanvallen niet mogelijk zijn.
Dit beveiligingslek is van toepassing op Java Webstart-applicaties en niet op DPA. Zoals aangegeven in de CVE-beschrijving van de NIST National Vulnerability Database op https://nvd.nist.gov/vuln/detail/CVE-2020-14803,wordt het als volgt gelezen:
Dit beveiligingslek is van toepassing op Java-implementaties, meestal in clients met sandboxed Java Web Start-applicaties of sandboxed Java-applets, die onbetrouwbare code laden en uitvoeren (zoals code die afkomstig is van internet) en voor beveiliging vertrouwen op de Java Sandbox. Dit beveiligingslek is niet van toepassing op Java-implementaties, meestal op servers, die alleen vertrouwde code laden en uitvoeren.
Dit wordt ook bevestigd in de beschrijving van de beveiligingswaarschuwing die door Oracle op https://www.oracle.com/security-alerts/cpujan2021.htmlwordt uitgegeven.
Java JVM van DPA laadt of staat het uitvoeren van niet-vertrouwde code niet toe. Hier zijn meer specifieke details over de JVM-implementatie van DPA met betrekking tot de CVE-beschrijving.
Java Sandbox - DPA maakt gebruik van de Dell BSafe cryptobibliotheek. Dit wordt uitgevoerd in dezelfde JVM waarop de DPA-applicatieserver wordt uitgevoerd. Er is geen afgeschermde ruimte op zichzelf genaamd Sandbox, waarbij DPA 'codebeveiliging' handhaaft. Het speelt zich af wanneer plausibele niet-vertrouwde code kan worden uitgevoerd op een JVM.
Niet-vertrouwde code - Het bereik hiervan wordt meestal in overweging genomen wanneer Java-applets worden gedownload en uitgevoerd in een Java-programma. In dergelijke gevallen, omdat de bron niet bekend is, wordt het gedownloade artikel vaak gezien als niet-vertrouwde code. In het paradigma van DPA vindt de installatie en of implementatie plaats op locatie met de optie om een dergelijke appletcode te downloaden en uit te voeren in de JVM van de DPA-server.
Niet-vertrouwde code - Het bereik hiervan wordt meestal in overweging genomen wanneer Java-applets worden gedownload en uitgevoerd in een Java-programma. In dergelijke gevallen, omdat de bron niet bekend is, wordt het gedownloade artikel vaak gezien als niet-vertrouwde code. In het paradigma van DPA vindt de installatie en of implementatie plaats op locatie met de optie om een dergelijke appletcode te downloaden en uit te voeren in de JVM van de DPA-server.
DPA Engineering heeft externe bibliotheekscans, broncodeanalyses en webapplicatiebeveiligingstests uitgevoerd rond dit beveiligingslekrapport. Deze scans en tests die worden uitgevoerd op DPA hebben aangetoond dat dergelijke aanvallen niet mogelijk zijn.
Resolution
Hoewel het beveiligingslek bestaat in Java 1.8u271, heeft de DPA Java JVM geen last van dit beveiligingslek.
Opgelost in Data Protection Advisor 19.5 en hoger. DPA 19.5 en hoger worden geleverd met Java 1.8u281 of hoger.
Neem contact op met de technische support van Dell voor meer details of informatie.
Opgelost in Data Protection Advisor 19.5 en hoger. DPA 19.5 en hoger worden geleverd met Java 1.8u281 of hoger.
Neem contact op met de technische support van Dell voor meer details of informatie.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.