Data Protection Advisor (DPA): Сканирование безопасности указывает на то, что Data Protection Advisor использует Java 1.8u271 с известными уязвимостями
Summary: Сканирование безопасности указывает на то, что Data Protection Advisor использует Java 1.8u271 с уязвимостями.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Сканер системы безопасности (пример: Nessus) указывает на то, что Data Protection Advisor (DPA) использует Java версии 1.8u271 (DPA 19.4 b36 и более поздней версии) с известными уязвимостями. Сканирование ссылается на указанную ниже уязвимость для Java 1.8 u271.
Дополнительные сведения об этой уязвимости см. в национальной базе данных уязвимостей NIST по адресу https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Матрица рисков Oracle Java SE
Это критически важное обновление исправлений содержит 1 новое исправление безопасности для Oracle Java SE. Эту уязвимость можно использовать удаленно без проверки подлинности, то есть ее можно использовать по сети без необходимости ввода учетных данных пользователя.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Примечания. Эта уязвимость, как правило, применяется к развертываниям Java, которые загружают и запускают ненадежный код (например код из Интернета), а также используют песочницу Java для обеспечения безопасности.
Это критически важное обновление исправлений содержит 1 новое исправление безопасности для Oracle Java SE. Эту уязвимость можно использовать удаленно без проверки подлинности, то есть ее можно использовать по сети без необходимости ввода учетных данных пользователя.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Примечания. Эта уязвимость, как правило, применяется к развертываниям Java, которые загружают и запускают ненадежный код (например код из Интернета), а также используют песочницу Java для обеспечения безопасности.
Дополнительные сведения об этой уязвимости см. в национальной базе данных уязвимостей NIST по адресу https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Cause
Хотя DPA использует версию Java 1.8 u271 (начиная с DPA 19.4 b36), DPA Java JVM не подвержена этой уязвимости. См. далее.
Эта уязвимость применима к приложениям Java Web Start, а не к DPA. Описание CVE национальной базы данных уязвимостей NIST по адресу https://nvd.nist.gov/vuln/detail/CVE-2020-14803 гласит следующее.
Это также подтверждается описанием оповещения безопасности, выпущенным компанией Oracle по адресу https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM DPA не загружает и не допускает запуск ненадежного кода. Ниже приведены более подробные сведения о внедрении JVM DPA с учетом описания CVE.
В рамках этого отчета об уязвимостях технический отдел DPA выполнил сканирование сторонних библиотек, анализ исходного кода и тестирование безопасности веб-приложений. Эти проверки и тесты, выполняемые в отношении DPA, показали, что такие атаки невозможны.
Эта уязвимость применима к приложениям Java Web Start, а не к DPA. Описание CVE национальной базы данных уязвимостей NIST по адресу https://nvd.nist.gov/vuln/detail/CVE-2020-14803 гласит следующее.
Эта уязвимость, как правило, применяется к развертываниям Java на клиентах, работающих с изолированными приложениями Java Web Start или апплетами Java, которые загружают и запускают ненадежный код (например код из Интернета) и используют песочницу Java для обеспечения безопасности. Эта уязвимость, как правило, не применима к развертываниям Java на серверах, которые загружают и запускают только надежный код.
Это также подтверждается описанием оповещения безопасности, выпущенным компанией Oracle по адресу https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM DPA не загружает и не допускает запуск ненадежного кода. Ниже приведены более подробные сведения о внедрении JVM DPA с учетом описания CVE.
Песочница Java — DPA использует библиотеку шифрования Dell BSafe. Она работает на той же JVM, на которой работает сервер приложений DPA. Хотя DPA использует версию Java 1.8 u271 (начиная с DPA 19.4 b36), DPA Java JVM не подвержена этой уязвимости. Он начинает работать, когда на JVM может быть запущен ненадежный код.
Ненадежный код — область действия обычно рассматривается при скачивании и запуске апплетов Java в программе Java. В таких случаях, так как источник неизвестен, скачанный фрагмент часто рассматривается как ненадежный код. В соответствии с парадигмой DPA установка и/или развертывание происходит на месте, что позволяет исключить возможность скачивания и запуска любого кода апплета в JVM сервера DPA.
Ненадежный код — область действия обычно рассматривается при скачивании и запуске апплетов Java в программе Java. В таких случаях, так как источник неизвестен, скачанный фрагмент часто рассматривается как ненадежный код. В соответствии с парадигмой DPA установка и/или развертывание происходит на месте, что позволяет исключить возможность скачивания и запуска любого кода апплета в JVM сервера DPA.
В рамках этого отчета об уязвимостях технический отдел DPA выполнил сканирование сторонних библиотек, анализ исходного кода и тестирование безопасности веб-приложений. Эти проверки и тесты, выполняемые в отношении DPA, показали, что такие атаки невозможны.
Resolution
Хотя эта уязвимость существует в Java 1.8u271, DPA Java JVM не подвержена этой уязвимости.
Устранена в Data Protection Advisor 19.5 и более поздних версиях. DPA 19.5 и более поздние версии поставляются с Java 1.8u281 или более поздней версии.
Для получения более подробной информации обратитесь в службу технической поддержки Dell.
Устранена в Data Protection Advisor 19.5 и более поздних версиях. DPA 19.5 и более поздние версии поставляются с Java 1.8u281 или более поздней версии.
Для получения более подробной информации обратитесь в службу технической поддержки Dell.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.