Mitigazione delle vulnerabilità Java in OpenManage Server Administrator mediante l'aggiornamento di Java Runtime

L'applicazione scanner di sicurezza di terze parti può rilevare la presenza delle librerie dell'ambiente di runtime Java 11 bundled di Dell OpenManage Server Administrator e identificare molte vulnerabilità di sicurezza. Molti scanner in genere elencano tutte le vulnerabilità note documentate dai progetti OpenJDK 11.

Java è un ambiente di programmazione delle applicazioni, pertanto in genere si riscontra che la maggior parte delle vulnerabilità di sicurezza Java non si applica a Server Administrator perché la vulnerabilità si applica a una particolare libreria o funzione non utilizzata da Server Administrator.

Tuttavia, Server Administrator può caricare una versione alternativa di Java Runtime Environment 11 installata all'interno del sistema operativo, che può essere più recente della versione Java 11 inclusa in OMSA. A tale scopo, attenersi alla procedura di risoluzione riportata di seguito.

Alcuni scanner di sicurezza di terze parti segnalano ancora avvisi falsi positivi a causa di semplici scansioni basate su file all'interno del sistema operativo e rilevano l'obsoleto Java 11 in bundle anche se viene caricato il runtime Java alternativo più recente. La sostituzione del vecchio Java 11 in bundle può essere eseguita seguendo la procedura di risoluzione riportata di seguito.

Server Administrator 10.3 e le versioni successive sono state testate e supportano ufficialmente il progetto gratuito Eclipse Temurin (in precedenza Adoptium) OpenJDK 11. Le versioni Windows e Linux del pacchetto di installazione di Temurin Java 11, Standard Edition possono essere scaricate da:

https://adoptium.net/temurin/releases/?version=11

Nota: Server Administrator supporta solo le versioni Java 11. Non scaricare o utilizzare progetti OpenJDK Java 17 o versioni successive poiché la relativa Application Programming Interface contiene funzioni Java più recenti, obsolete e modificate che potrebbero influire sulla funzione dell'interfaccia grafica di Server Administrator.

Specifica dell'amministratore del server Caricamento di un ambiente Java 11 Temurin alternativo

1. Dal sito web di Adoptium, scaricare la versione Windows o Linux del pacchetto "JRE" più piccolo con architettura "x64"
2. Seguire le istruzioni per installare il pacchetto di runtime Java alternativo nel sistema operativo, su ciascun host o utilizzando strumenti di deployment di terze parti.
3. Avviare l'interfaccia grafica web di Server Administrator da un browser.
4. Vai su Preferenze (pagina in alto a destra) e su Impostazioni generali (nel margine sinistro)
5. Scorrere verso il basso fino alla sezione Java Runtime Environment e abilitare System JRE/JDK
6. Se Server Administrator riconosce un runtime Java alternativo esistente installato, elencherà la versione nel menu a discesa
7. Cliccare sul pulsante Apply per riavviare il servizio web di Server Administrator.

In alternativa, questa impostazione della preferenza può essere modificata anche con la riga di comando di Server Administrator a livello di codice. Ciò è utile anche se è stato commesso un errore e l'interfaccia web non è più accessibile. Per elencare le versioni Java alternative correnti rilevate:

omreport preferences webserver attribute=getjrelist

Per modificare l'impostazione:

omconfig preferences webserver attribute=setjre jreversion=<version>

Riavviare "DSM SA Connection Service" in Windows o "dsm_om_connsvc.service" in Linux.

Per ripristinare il runtime Java preferito nella versione bundled all'interno di Server Administrator se si è verificato un errore e l'interfaccia web non è più accessibile:

omconfig preferences webserver attribute=setjre jreversion=<version>

Sostituzione del runtime Java fornito in bundle in Server Administrator

Nota: Questo metodo richiede il deployment manuale ed è consigliato solo per risolvere i report di falsi positivi provenienti da uno scanner di sicurezza basato su file. Inoltre, la versione del runtime Java sostitutivo non è riportata nella pagina Software dell'interfaccia web di Server Administrator.

Nota: Server Administrator supporta solo le versioni Java 11. Non scaricare o utilizzare progetti OpenJDK Java 17 o versioni successive poiché la relativa Application Programming Interface contiene funzioni Java più recenti, obsolete e modificate che potrebbero influire sulla funzione dell'interfaccia grafica di Server Administrator.

1. Dal sito web di Adoptium, scaricare la versione per Windows o Linux del pacchetto "JRE" più piccolo con architettura "x64". Assicurati di scegliere rispettivamente i formati .zip o .tar.gz.
2. Estrarre l'intero contenuto del file in una cartella rinominata "jre"
3. Arrestare "DSM SA Connection Service" in Windows o "dsm_om_connsvc.service" in Linux.
4. Rinominare per eseguire il backup della cartella esistente C:\Program Files\Dell\SysMgmt\jre\ (Windows) o /opt/dell/srvadmin/lib64/openmanage/jre/ (Linux)
5. Scambiare con il pacchetto di runtime Java 11 Temurian scaricato più recente, la cui cartella è stata recentemente rinominata "jre"
6. Avviare il servizio web Server Administrator.