Data Protection Advisor (DPA): Güvenlik taramaları, Data Protection Advisor'ın bilinen güvenlik açıkları olan Java 1.8u271 kullandığını gösteriyor
Summary: Güvenlik taramaları, Data Protection Advisor'ın güvenlik açıkları olan Java 1.8u271 kullandığını gösteriyor.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Güvenlik tarayıcısı (örnek: Nessus), Data Protection Advisor'ın (DPA) bilinen güvenlik açıkları olan Java sürümü 1.8u271 (DPA 19.4 b36 ve üzeri) kullandığını gösteriyor. Taramada Java 1.8 u271 için aşağıdaki güvenlik açığı gösteriliyor.
Bu güvenlik açığıyla ilgili daha fazla ayrıntıyı https://nvd.nist.gov/vuln/detail/CVE-2020-14803 adresinde NIST'nin Ulusal Güvenlik Açığı Veritabanı'nda bulabilirsiniz.
Oracle Java SE Risk Matrisi
Bu Kritik Yama Güncelleştirmesi, Oracle Java SE için 1 yeni güvenlik yaması içerir. Bu güvenlik açığından, kimlik doğrulaması olmadan uzaktan faydalanılabilir; diğer bir ifadeyle kullanıcı kimlik bilgileri gerekmeden ağ üzerinden kullanılabilir.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notlar: Bu güvenlik açığı, güvenilir olmayan kodu (ör. İnternetten gelen kodlar) yükleyip çalıştıran ve güvenlik için Java korumalı alanı kullanan Java dağıtımları için geçerlidir.
Bu Kritik Yama Güncelleştirmesi, Oracle Java SE için 1 yeni güvenlik yaması içerir. Bu güvenlik açığından, kimlik doğrulaması olmadan uzaktan faydalanılabilir; diğer bir ifadeyle kullanıcı kimlik bilgileri gerekmeden ağ üzerinden kullanılabilir.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notlar: Bu güvenlik açığı, güvenilir olmayan kodu (ör. İnternetten gelen kodlar) yükleyip çalıştıran ve güvenlik için Java korumalı alanı kullanan Java dağıtımları için geçerlidir.
Bu güvenlik açığıyla ilgili daha fazla ayrıntıyı https://nvd.nist.gov/vuln/detail/CVE-2020-14803 adresinde NIST'nin Ulusal Güvenlik Açığı Veritabanı'nda bulabilirsiniz.
Cause
DPA tarafından kullanılan Java sürümü 1.8 u271'dir (DPA 19.4 b36 olarak) ancak DPA Java JVM'si bu güvenlik açığından etkilenmez. Aşağıdakilere bakın:
Bu güvenlik açığı; DPA için değil, Java Webstart uygulamaları için geçerlidir. https://nvd.nist.gov/vuln/detail/CVE-2020-14803 adresindeki NIST Ulusal Güvenlik Açığı Veritabanı'nın CVE açıklamasında belirtildiği üzere aşağıdaki gibi açıklanır:
Bu, Oracle tarafından https://www.oracle.com/security-alerts/cpujan2021.html adresinde yayınlanan güvenlik uyarısı açıklamasında da doğrulanmıştır.
DPA'nın Java JVM'si, güvenilir olmayan kodu yüklemez veya kodun çalıştırılmasına izin vermez. CVE açıklamasına ilişkin olarak DPA'nın JVM uygulamasıyla ilgili daha ayrıntılı bilgileri burada bulabilirsiniz.
DPA Mühendislik ekibi, bu güvenlik açığı raporuyla ilgili üçüncü Taraf Kitaplık taramaları, Kaynak Kodu Analizi ve Web Uygulaması Güvenlik Testi gerçekleştirmiştir. DPA'da gerçekleştirilen bu taramalar ve testler, bu tür saldırıların mümkün olmadığını göstermiştir.
Bu güvenlik açığı; DPA için değil, Java Webstart uygulamaları için geçerlidir. https://nvd.nist.gov/vuln/detail/CVE-2020-14803 adresindeki NIST Ulusal Güvenlik Açığı Veritabanı'nın CVE açıklamasında belirtildiği üzere aşağıdaki gibi açıklanır:
Bu güvenlik açığı, genellikle korumalı Java Web Başlangıç uygulamaları veya korumalı Java uygulamaları çalıştıran istemcilerde, güvenilir olmayan kodu (ör. İnternetten gelen kodlar) yükleyen ve çalıştıran ve güvenlik için Java korumalı alanı kullanan Java dağıtımları için geçerlidir. Bu güvenlik açığı, genellikle sunucularda olmak üzere yalnızca güvenilir kodu yükleyen ve çalıştıran Java dağıtımları için geçerli değildir.
Bu, Oracle tarafından https://www.oracle.com/security-alerts/cpujan2021.html adresinde yayınlanan güvenlik uyarısı açıklamasında da doğrulanmıştır.
DPA'nın Java JVM'si, güvenilir olmayan kodu yüklemez veya kodun çalıştırılmasına izin vermez. CVE açıklamasına ilişkin olarak DPA'nın JVM uygulamasıyla ilgili daha ayrıntılı bilgileri burada bulabilirsiniz.
Java Korumalı Alanı - DPA, Dell BSafe şifreleme kitaplığını kullanır. Bu, DPA uygulama sunucusunun çalıştırıldığı aynı JVM'de çalışır. DPA'nın "kod güvenliğini" koruduğu Korumalı Alan olarak adlandırılan kendi başına ayrı bir alan yoktur. Korumalı alan, JVM'de güvenilir olmayan bir kodun çalıştırılma olasılığı olduğunda devreye girer.
Güvenilir Olmayan Kod: Bu durumun kapsamı genellikle Java Uygulamaları indirildiğinde ve bir Java Programı içinde çalıştırıldığında anlaşılır. Bu gibi durumlarda kaynak bilinmediğinden indirilen bileşen genellikle güvenilir olmayan kod olarak görülür. DPA'nın paradigmasında, DPA sunucusunun JVM'sinde indirilen ve çalıştırılan bu tür uygulama koduna sahip olma seçeneği engellenerek kurulum ve/veya dağıtım yerinde gerçekleşir.
Güvenilir Olmayan Kod: Bu durumun kapsamı genellikle Java Uygulamaları indirildiğinde ve bir Java Programı içinde çalıştırıldığında anlaşılır. Bu gibi durumlarda kaynak bilinmediğinden indirilen bileşen genellikle güvenilir olmayan kod olarak görülür. DPA'nın paradigmasında, DPA sunucusunun JVM'sinde indirilen ve çalıştırılan bu tür uygulama koduna sahip olma seçeneği engellenerek kurulum ve/veya dağıtım yerinde gerçekleşir.
DPA Mühendislik ekibi, bu güvenlik açığı raporuyla ilgili üçüncü Taraf Kitaplık taramaları, Kaynak Kodu Analizi ve Web Uygulaması Güvenlik Testi gerçekleştirmiştir. DPA'da gerçekleştirilen bu taramalar ve testler, bu tür saldırıların mümkün olmadığını göstermiştir.
Resolution
Java 1.8u271'de güvenlik açığı bulunsa da DPA Java JVM'si bu güvenlik açığından etkilenmez.
Data Protection Advisor 19.5 ve sonraki sürümlerde çözüldü. DPA 19.5 ve sonraki sürümler, Java 1.8u281 veya sonraki sürümlerle birlikte gelir.
Daha fazla ayrıntı veya bilgi için Dell Teknik Destek ile iletişime geçin.
Data Protection Advisor 19.5 ve sonraki sürümlerde çözüldü. DPA 19.5 ve sonraki sürümler, Java 1.8u281 veya sonraki sürümlerle birlikte gelir.
Daha fazla ayrıntı veya bilgi için Dell Teknik Destek ile iletişime geçin.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.