Data Protection Advisor (DPA): As verificações de segurança indicam que o Data Protection Advisor usa o Java 1.8u271, o qual apresenta vulnerabilidades conhecidas
Summary: As verificações de segurança indicam que o Data Protection Advisor usa o Java 1.8u271, o qual apresenta vulnerabilidades.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
A verificação de segurança (exemplo: Nessus) indica que o Data Protection Advisor (DPA) usa a versão 1.8u271 do Java (DPA 19.4 b36 ou posterior), a qual apresenta vulnerabilidades conhecidas. A verificação menciona a vulnerabilidade abaixo para o Java 1.8 u271.
Você pode encontrar mais detalhes dessa vulnerabilidade no banco de dados nacional de vulnerabilidades do NIST, em https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE Risk Matrix
This Critical Patch Update contains 1 new security patch for Oracle Java SE. This vulnerability is remotely exploitable without authentication, that is, may be exploited over a network without requiring user credentials.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notas: Essa vulnerabilidade se aplica a implementações Java que carregam e executam código não confiável (como código proveniente da Internet) e dependem da área restrita do Java para segurança.
This Critical Patch Update contains 1 new security patch for Oracle Java SE. This vulnerability is remotely exploitable without authentication, that is, may be exploited over a network without requiring user credentials.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notas: Essa vulnerabilidade se aplica a implementações Java que carregam e executam código não confiável (como código proveniente da Internet) e dependem da área restrita do Java para segurança.
Você pode encontrar mais detalhes dessa vulnerabilidade no banco de dados nacional de vulnerabilidades do NIST, em https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Cause
Embora a versão do Java usada pelo DPA seja a 1.8 u271 (desde o DPA 19.4 b36), o JVM do DPA não é afetado por essa vulnerabilidade. Confira a seguir:
Essa vulnerabilidade é aplicável aos aplicativos Java Webstart e não ao DPA. No banco de dados nacional de vulnerabilidades do NIST, em https://nvd.nist.gov/vuln/detail/CVE-2020-14803, podemos observar a seguinte descrição de CVE:
Essas informações também são confirmadas na descrição do alerta de segurança emitido pela Oracle, em https://www.oracle.com/security-alerts/cpujan2021.html.
O JVM do DPA não faz o carregamento nem permite a execução de códigos não confiáveis. Veja a seguir os detalhes mais específicos sobre a implementação JVM do DPA com relação à descrição de CVE.
A equipe de engenharia do DPA realizou verificações de bibliotecas de terceiros, análises de códigos-fonte e testes de segurança de aplicativos da Web com base nesse relatório de vulnerabilidades. As verificações e os testes realizados no DPA mostraram que esses ataques não são possíveis.
Essa vulnerabilidade é aplicável aos aplicativos Java Webstart e não ao DPA. No banco de dados nacional de vulnerabilidades do NIST, em https://nvd.nist.gov/vuln/detail/CVE-2020-14803, podemos observar a seguinte descrição de CVE:
Essa vulnerabilidade se aplica a implementações Java, geralmente em clients executando aplicativos Java Web Start em área restrita ou miniaplicativos Java em área restrita, que carregam e executam código não confiável (como código proveniente da Internet) e dependem da área restrita do Java para segurança. Essa vulnerabilidade não se aplica a implementações Java, geralmente em servidores, que carregam e executam apenas códigos confiáveis.
Essas informações também são confirmadas na descrição do alerta de segurança emitido pela Oracle, em https://www.oracle.com/security-alerts/cpujan2021.html.
O JVM do DPA não faz o carregamento nem permite a execução de códigos não confiáveis. Veja a seguir os detalhes mais específicos sobre a implementação JVM do DPA com relação à descrição de CVE.
Área restrita do Java – O DPA usa a biblioteca de criptografia Dell BSafe. Ela é executada no mesmo JVM em que o servidor de aplicativos do DPA é executado. Não há espaço isolado por si só chamado de área restrita, onde o DPA mantém a "segurança de código". Ela entrará em ação quando um código plausível não confiável puder ser executado em um JVM.
Código não confiável – Esse escopo é levado em consideração normalmente quando miniaplicativos Java são baixados e executados dentro de um programa Java. Nesses casos, como a origem não é conhecida, a peça baixada geralmente é vista como código não confiável. No paradigma do DPA, a instalação e/ou implementação acontece no local, impedindo a opção de ter qualquer código de miniaplicativo que seja baixado e executado no JVM do servidor do DPA.
Código não confiável – Esse escopo é levado em consideração normalmente quando miniaplicativos Java são baixados e executados dentro de um programa Java. Nesses casos, como a origem não é conhecida, a peça baixada geralmente é vista como código não confiável. No paradigma do DPA, a instalação e/ou implementação acontece no local, impedindo a opção de ter qualquer código de miniaplicativo que seja baixado e executado no JVM do servidor do DPA.
A equipe de engenharia do DPA realizou verificações de bibliotecas de terceiros, análises de códigos-fonte e testes de segurança de aplicativos da Web com base nesse relatório de vulnerabilidades. As verificações e os testes realizados no DPA mostraram que esses ataques não são possíveis.
Resolution
Embora exista uma vulnerabilidade no Java 1.8u271, o JVM do DPA não é afetado por ela.
Esse problema foi resolvido no Data Protection Advisor 19.5 e nas versões posteriores. O DPA a partir da versão 19.5 vem com o Java 1.8u281 ou posterior.
Entre em contato com o suporte técnico da Dell para obter mais detalhes ou informações.
Esse problema foi resolvido no Data Protection Advisor 19.5 e nas versões posteriores. O DPA a partir da versão 19.5 vem com o Java 1.8u281 ou posterior.
Entre em contato com o suporte técnico da Dell para obter mais detalhes ou informações.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.