Data Protection Advisor (DPA) : les analyses de sécurité indiquent que Data Protection Advisor utilise Java 1.8u271 qui présente des failles de sécurité
Summary: Les analyses de sécurité indiquent que Data Protection Advisor utilise Java 1.8u271 qui présente des failles de sécurité.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Le scanner de sécurité (exemple : Nessus) indique que Data Protection Advisor (DPA) utilise Java version 1.8u271 (DPA 19.4 b36 et versions supérieures) qui présente des failles de sécurité connues. L’analyse fait référence à la faille de sécurité ci-dessous pour Java 1.8 u271.
Pour plus d’informations sur cette faille de sécurité, consultez la base de données nationale des failles de sécurité du NIST à l’adresse https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE Risk Matrix
Cette mise à jour de correctif critique contient 1 nouveau correctif de sécurité pour Oracle Java SE. Cette faille de sécurité est exploitable à distance sans authentification, autrement dit, elle peut être exploitée sur un réseau sans nécessiter d’informations d’identification de l’utilisateur.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Remarques : cette faille de sécurité s’applique aux déploiements Java qui chargent et exécutent du code non fiable (par exemple, le code provenant d’Internet) et qui s’appuient sur le sandbox Java pour assurer la sécurité.
Cette mise à jour de correctif critique contient 1 nouveau correctif de sécurité pour Oracle Java SE. Cette faille de sécurité est exploitable à distance sans authentification, autrement dit, elle peut être exploitée sur un réseau sans nécessiter d’informations d’identification de l’utilisateur.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Remarques : cette faille de sécurité s’applique aux déploiements Java qui chargent et exécutent du code non fiable (par exemple, le code provenant d’Internet) et qui s’appuient sur le sandbox Java pour assurer la sécurité.
Pour plus d’informations sur cette faille de sécurité, consultez la base de données nationale des failles de sécurité du NIST à l’adresse https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Cause
Bien que la version de Java utilisée par DPA soit 1.8 u271 (à partir de DPA 19.4 b36), la JVM Java DPA n’est pas affectée par cette faille de sécurité. Reportez-vous aux sections suivantes :
Cette faille de sécurité s’applique aux applications Java Webstart et non à DPA. Comme indiqué dans la description CVE de la base de données nationale des failles de sécurité du NIST à l’adresse https://nvd.nist.gov/vuln/detail/CVE-2020-14803 :
Cela est également confirmé dans la description de l’alerte de sécurité émise par Oracle à l’adresse https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM de DPA ne charge pas ou n’autorise pas l’exécution d’un code non fiable. Voici des détails plus spécifiques sur l’implémentation JVM de DPA en ce qui concerne la description CVE.
L’équipe d’ingénieurs de DPA a effectué des analyses de bibliothèque tierces, l’analyse du code source et des tests de sécurité des applications Web autour de ce rapport de faille de sécurité. Ces analyses et tests effectués contre DPA ont montré que de telles attaques ne sont pas possibles.
Cette faille de sécurité s’applique aux applications Java Webstart et non à DPA. Comme indiqué dans la description CVE de la base de données nationale des failles de sécurité du NIST à l’adresse https://nvd.nist.gov/vuln/detail/CVE-2020-14803 :
Cette faille de sécurité s’applique aux déploiements Java, généralement dans les clients exécutant des applications Java Web Start Sandbox ou des applets Java Sandbox, qui chargent et exécutent du code non fiable (par exemple, le code provenant d’Internet) et s’appuient sur le sandbox Java pour la sécurité. Cette faille de sécurité ne s’applique pas aux déploiements Java, généralement dans les serveurs, qui chargent et exécutent uniquement du code fiable.
Cela est également confirmé dans la description de l’alerte de sécurité émise par Oracle à l’adresse https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM de DPA ne charge pas ou n’autorise pas l’exécution d’un code non fiable. Voici des détails plus spécifiques sur l’implémentation JVM de DPA en ce qui concerne la description CVE.
Java Sandbox : DPA utilise la bibliothèque cryptographique Dell BSafe. Elle s’exécute dans la même JVM que le serveur d’applications DPA. Il n’y a pas d’espace de séparation appelé Sandbox dans lequel DPA maintient la « sécurité du code ». Il entre en jeu lorsque le code non fiable pourrait s’exécuter sur une JVM.
Code non fiable : le champ d’application de ce code est généralement pris en compte lorsque les applets Java sont téléchargés et exécutés dans un programme Java. Dans ce cas, étant donné que la source n’est pas connue, l’élément téléchargé est souvent considéré comme du code non fiable. Dans le paradigme de DPA, l’installation et/ou le déploiement se produisent sur site, sauf si un code d’applet de ce type est téléchargé et exécuté dans la JVM du serveur.
Code non fiable : le champ d’application de ce code est généralement pris en compte lorsque les applets Java sont téléchargés et exécutés dans un programme Java. Dans ce cas, étant donné que la source n’est pas connue, l’élément téléchargé est souvent considéré comme du code non fiable. Dans le paradigme de DPA, l’installation et/ou le déploiement se produisent sur site, sauf si un code d’applet de ce type est téléchargé et exécuté dans la JVM du serveur.
L’équipe d’ingénieurs de DPA a effectué des analyses de bibliothèque tierces, l’analyse du code source et des tests de sécurité des applications Web autour de ce rapport de faille de sécurité. Ces analyses et tests effectués contre DPA ont montré que de telles attaques ne sont pas possibles.
Resolution
Bien que la faille de sécurité existe dans Java 1.8u271, la JVM Java DPA n’est pas affectée par cette faille de sécurité.
Résolu dans Data Protection Advisor 19.5 et versions supérieures. DPA 19.5 et versions supérieures sont fournis avec Java 1.8u281 ou version supérieure.
Pour plus d’informations, contactez le support technique Dell.
Résolu dans Data Protection Advisor 19.5 et versions supérieures. DPA 19.5 et versions supérieures sont fournis avec Java 1.8u281 ou version supérieure.
Pour plus d’informations, contactez le support technique Dell.
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.