Data Protection Advisor(DPA):セキュリティ スキャンにより、Data Protection Advisorが既知の脆弱性を持つJava 1.8u271を使用していることが示される
Summary: セキュリティ スキャンにより、Data Protection Advisorが脆弱性のあるJava 1.8u271を使用していることが示されています。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
セキュリティ スキャナー(例:Nessus)が、Data Protection Advisor (DPA)が既知の脆弱性を持つJavaバージョン1.8u271(DPA 19.4 b36以降)を使用していることを示しています。このスキャンは、Java 1.8 u271の以下の脆弱性を示しています。
この脆弱性の詳細については、NISTのNational Vulnerability Database (https://nvd.nist.gov/vuln/detail/CVE-2020-14803)を参照してください。
Oracle Java SE Risk Matrix
この重要なパッチ アップデートには、Oracle Java SEの新しいセキュリティ パッチが1つ含まれています。この脆弱性は、認証なしでリモートで悪用できます。つまり、ユーザー資格情報を要求することなく、ネットワーク経由で悪用される可能性があります。
CVE-2020-14803 Java SE、Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE:7u281、8u271、Java SE Embedded:8u271
メモ:この脆弱性は、信頼できないコード(インターネットからのコードなど)をロードして実行し、セキュリティをJavaサンドボックスに依存するJava導入環境が対象となります。
この重要なパッチ アップデートには、Oracle Java SEの新しいセキュリティ パッチが1つ含まれています。この脆弱性は、認証なしでリモートで悪用できます。つまり、ユーザー資格情報を要求することなく、ネットワーク経由で悪用される可能性があります。
CVE-2020-14803 Java SE、Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE:7u281、8u271、Java SE Embedded:8u271
メモ:この脆弱性は、信頼できないコード(インターネットからのコードなど)をロードして実行し、セキュリティをJavaサンドボックスに依存するJava導入環境が対象となります。
この脆弱性の詳細については、NISTのNational Vulnerability Database (https://nvd.nist.gov/vuln/detail/CVE-2020-14803)を参照してください。
Cause
DPAで使用されているJavaのバージョンは1.8 u271(DPA 19.4 b36時点)ですが、DPA Java JVMはこの脆弱性の影響を受けません。以下を参照してください。
この脆弱性は、DPAではなくJava Webstartアプリケーションを対象としています。NISTのNational Vulnerability Database (https://nvd.nist.gov/vuln/detail/CVE-2020-14803)のCVEの説明に記載されているように、次のように表示されます。
これは、Oracleによって発行されたセキュリティ アラートの説明(https://www.oracle.com/security-alerts/cpujan2021.html)でも確認できます。
DPAのJava JVMは、信頼されていないコードをロードしたり、実行を許可したりしません。CVEの説明に関するDPAのJVM実装について、より具体的な詳細を以下に示します。
DPAエンジニアリングは、この脆弱性レポートに関するサード パーティー ライブラリーのスキャン、ソース コード分析、Webアプリケーション セキュリティ テストを実行しました。DPAに対して実行されるこれらのスキャンとテストでは、このような攻撃は不可能であると示されています。
この脆弱性は、DPAではなくJava Webstartアプリケーションを対象としています。NISTのNational Vulnerability Database (https://nvd.nist.gov/vuln/detail/CVE-2020-14803)のCVEの説明に記載されているように、次のように表示されます。
この脆弱性は、通常はサンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できないコード(インターネットからのコードなど)をロードして実行し、セキュリティをJavaサンドボックスに依存するJava導入環境が対象となります。この脆弱性は、信頼できるコードのみをロードして実行するJava導入環境(通常はサーバー)は対象となりません。
これは、Oracleによって発行されたセキュリティ アラートの説明(https://www.oracle.com/security-alerts/cpujan2021.html)でも確認できます。
DPAのJava JVMは、信頼されていないコードをロードしたり、実行を許可したりしません。CVEの説明に関するDPAのJVM実装について、より具体的な詳細を以下に示します。
Javaサンドボックス - DPAはDell BSafe cryptoライブラリーを使用します。これは、DPAアプリケーション サーバーが実行されているのと同じJVMで実行されます。サンドボックスと呼ばれる、DPAが「コード セキュリティ」を維持する単独の領域があるわけではありません。これは、JVMで、妥当に見えるが信頼できないコードが実行される可能性がある場合に役立ちます。
信頼できないコード - この範囲は通常、Javaアプレットがダウンロードされ、Javaプログラム内で実行される場合に考慮されます。このような場合、ソースが不明であるため、ダウンロードされた部分は信頼できないコードと見なされることが多いです。DPAのパラダイムでは、DPAサーバーのJVMでダウンロードおよび実行されるそのようなアプレット コードを含むオプションがなければ、インストールや導入はオンサイトで行われます。
信頼できないコード - この範囲は通常、Javaアプレットがダウンロードされ、Javaプログラム内で実行される場合に考慮されます。このような場合、ソースが不明であるため、ダウンロードされた部分は信頼できないコードと見なされることが多いです。DPAのパラダイムでは、DPAサーバーのJVMでダウンロードおよび実行されるそのようなアプレット コードを含むオプションがなければ、インストールや導入はオンサイトで行われます。
DPAエンジニアリングは、この脆弱性レポートに関するサード パーティー ライブラリーのスキャン、ソース コード分析、Webアプリケーション セキュリティ テストを実行しました。DPAに対して実行されるこれらのスキャンとテストでは、このような攻撃は不可能であると示されています。
Resolution
この脆弱性はJava 1.8u271に存在しますが、DPA Java JVMはこの脆弱性の影響を受けません。
Data Protection Advisor 19.5以降で解決済み。DPA 19.5以降には、Java 1.8u281以降が付属しています。
さらに詳しい情報については、Dellテクニカル サポートにお問い合わせください。
Data Protection Advisor 19.5以降で解決済み。DPA 19.5以降には、Java 1.8u281以降が付属しています。
さらに詳しい情報については、Dellテクニカル サポートにお問い合わせください。
Products
Data Protection AdvisorArticle Properties
Article Number: 000187683
Article Type: Solution
Last Modified: 01 Jun 2021
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.