Data Protection Advisor (DPA): Sikkerhetsskanninger indikerer at Data Protection Advisor bruker Java 1.8u271 som har kjente sikkerhetsproblemer
Summary: Sikkerhetsskanninger indikerer at Data Protection Advisor bruker Java 1.8u271 som har sikkerhetsproblemer.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Sikkerhetsskanner (for eksempel: Nessus) indikerer at Data Protection Advisor (DPA) bruker Java versjon 1.8u271 (DPA 19.4 b36 og nyere) som har kjente sikkerhetsproblemer. Skanningen viser sikkerhetsproblemet nedenfor for Java 1.8 u271.
Du finner mer informasjon om dette sikkerhetsproblemet i NIST's National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE Risikomatrise
Denne kritiske oppdateringen inneholder én ny sikkerhetsoppdatering for Oracle Java SE. Dette sikkerhetsproblemet kan utnyttes eksternt uten godkjenning, det vil si, kan utnyttes over et nettverk uten å kreve brukerlegitimasjon.
CVE-2020-14803 Java SE, Java SE innebygde biblioteker Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Innebygd Java SE: Merknader for 8u271:
Dette sikkerhetsproblemet gjelder Java-implementeringer som laster inn og kjører ikke-klarert kode (for eksempel kode som kommer fra Internett), og er avhengig av Java-sandkassen for sikkerhet.
Denne kritiske oppdateringen inneholder én ny sikkerhetsoppdatering for Oracle Java SE. Dette sikkerhetsproblemet kan utnyttes eksternt uten godkjenning, det vil si, kan utnyttes over et nettverk uten å kreve brukerlegitimasjon.
CVE-2020-14803 Java SE, Java SE innebygde biblioteker Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Innebygd Java SE: Merknader for 8u271:
Dette sikkerhetsproblemet gjelder Java-implementeringer som laster inn og kjører ikke-klarert kode (for eksempel kode som kommer fra Internett), og er avhengig av Java-sandkassen for sikkerhet.
Du finner mer informasjon om dette sikkerhetsproblemet i NIST's National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Cause
Selv om versjonen av Java som brukes av DPA er 1.8 u271 (per DPA 19.4 b36), påvirkes ikke DPA Java JVM av dette sikkerhetsproblemet. Se følgende:
Dette sikkerhetsproblemet gjelder Java Webstart-applikasjoner og ikke for DPA. Som nevnt i CVE-beskrivelsen fra NIST National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803,står det som nedenfor:
Dette bekreftes også i beskrivelsen av sikkerhetsvarselet som utstedes av Oracle på https://www.oracle.com/security-alerts/cpujan2021.html.
DPA Java JVM laster ikke eller tillater kjøring av ikke-klarert kode. Her er mer spesifikke detaljer om DPA JVM-implementering med hensyn til CVE-beskrivelsen.
DPA Engineering har utført tredjeparts bibliotekskanninger, analyse av kildekode og webapplikasjonssikkerhetstesting rundt denne rapporten om sikkerhetsproblemer. Disse skanningene og testene som utføres mot DPA, har vist at slike angrep ikke er mulige.
Dette sikkerhetsproblemet gjelder Java Webstart-applikasjoner og ikke for DPA. Som nevnt i CVE-beskrivelsen fra NIST National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803,står det som nedenfor:
Dette sikkerhetsproblemet gjelder Java-implementeringer, vanligvis i klienter som kjører Java Web Start-applikasjoner med sandkasse eller Java-appleter med sandkasse, som laster inn og kjører ikke-klarert kode (for eksempel kode som kommer fra Internett) og er avhengig av Java sandkasse for sikkerhet. Dette sikkerhetsproblemet gjelder ikke for Java-implementeringer, vanligvis på servere, som laster inn og kjører bare klarert kode.
Dette bekreftes også i beskrivelsen av sikkerhetsvarselet som utstedes av Oracle på https://www.oracle.com/security-alerts/cpujan2021.html.
DPA Java JVM laster ikke eller tillater kjøring av ikke-klarert kode. Her er mer spesifikke detaljer om DPA JVM-implementering med hensyn til CVE-beskrivelsen.
Java Sandkasse – DPA bruker Dell BSafe Crypto-biblioteket. Dette kjører i samme JVM der DPA-applikasjonsserveren kjører på. Det er ingen bortgjemt plass alene kalt Sandkasse, mens DPA opprettholder «kodesikkerhet». Den kommer inn i bildet når det ikke-klarerte ekthetskoder kan kjøres på en JVM.
Ikke-klarert kode – omfanget av dette tar vanligvis hensyn til når Java-appleter lastes ned og kjøres i et Java-program. I slike tilfeller, siden kilden ikke er kjent, blir den nedlastede gjenstanden som ofte anses som ikke-klarert kode. I DPA's paradigme skjer installasjonen og implementeringen på stedet for å hindre at slike appletkoder lastes ned og kjøres i DPA-serverens JVM.
Ikke-klarert kode – omfanget av dette tar vanligvis hensyn til når Java-appleter lastes ned og kjøres i et Java-program. I slike tilfeller, siden kilden ikke er kjent, blir den nedlastede gjenstanden som ofte anses som ikke-klarert kode. I DPA's paradigme skjer installasjonen og implementeringen på stedet for å hindre at slike appletkoder lastes ned og kjøres i DPA-serverens JVM.
DPA Engineering har utført tredjeparts bibliotekskanninger, analyse av kildekode og webapplikasjonssikkerhetstesting rundt denne rapporten om sikkerhetsproblemer. Disse skanningene og testene som utføres mot DPA, har vist at slike angrep ikke er mulige.
Resolution
Selv om sikkerhetsproblemet finnes i Java 1.8u271, påvirkes ikke DPA Java JVM av dette sikkerhetsproblemet.
Løst i Data Protection Advisor 19.5 og nyere. DPA 19.5 og nyere leveres med Java 1.8u281 eller nyere.
Kontakt Dells tekniske kundestøtte hvis du vil ha mer informasjon.
Løst i Data Protection Advisor 19.5 og nyere. DPA 19.5 og nyere leveres med Java 1.8u281 eller nyere.
Kontakt Dells tekniske kundestøtte hvis du vil ha mer informasjon.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.