Data Protection Advisor (DPA): Säkerhetsgenomsökningar visar att Data Protection Advisor använder Java 1.8u271 som har känt till sårbarheter
Riepilogo: Säkerhetsgenomsökningar visar att Data Protection Advisor använder Java 1.8u271 som har säkerhetsproblem.
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Säkerhetsgenomsökning (exempel: Nessus) indikerar att Data Protection Advisor (DPA) använder Java-version 1.8u271 (DPA 19.4 b36 och senare) som har kända säkerhetsproblem. Genomsökningen hänvisar till nedanstående säkerhetsproblem för Java 1.8 u271.
Mer information om det här säkerhetsproblemet finns i NIST:s nationella sårbarhetsdatabas på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Riskmatris för Oracle Java SE
Den här viktiga korrigeringsuppdateringen innehåller en ny säkerhetskorrigering för Oracle Java SE. Det här säkerhetsproblemet kan utnyttjas via fjärranslutning utan autentisering, vilket innebär att det kan utnyttjas över ett nätverk utan att det krävs användaruppgifter.
CVE-2020-14803 Java SE, inbäddade Java SE-bibliotek med flera Yes 5.3 Network Low None Av-changed Low None Java SE: 7u281, 8u271; Inbäddad Java SE: Anmärkningar för 8u271:
Det här säkerhetsproblemet gäller Java-distributioner som laddar och kör icke-betrodd kod (t.ex. kod som kommer från internet) och förlitar sig på Java sandbox för säkerhet.
Den här viktiga korrigeringsuppdateringen innehåller en ny säkerhetskorrigering för Oracle Java SE. Det här säkerhetsproblemet kan utnyttjas via fjärranslutning utan autentisering, vilket innebär att det kan utnyttjas över ett nätverk utan att det krävs användaruppgifter.
CVE-2020-14803 Java SE, inbäddade Java SE-bibliotek med flera Yes 5.3 Network Low None Av-changed Low None Java SE: 7u281, 8u271; Inbäddad Java SE: Anmärkningar för 8u271:
Det här säkerhetsproblemet gäller Java-distributioner som laddar och kör icke-betrodd kod (t.ex. kod som kommer från internet) och förlitar sig på Java sandbox för säkerhet.
Mer information om det här säkerhetsproblemet finns i NIST:s nationella sårbarhetsdatabas på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Causa
Den Java-version som används av DPA är 1.8 u271 (från och med DPA 19.4 b36), men DPA Java JVM påverkas inte av det här säkerhetsproblemet. Se följande:
Det här säkerhetsproblemet gäller för Java Webstart-program och inte DPA. Som nämnts i CVE-beskrivningen från NIST:s nationella sårbarhetsdatabas på https://nvd.nist.gov/vuln/detail/CVE-2020-14803står det enligt nedan:
Det här bekräftas även i säkerhetsvarningsbeskrivningen som utfärdas av Oracle i https://www.oracle.com/security-alerts/cpujan2021.html.
DPA:s Java JVM läses inte in eller tillåter körning av ej betrodd kod. Här är mer specifika detaljer om DPA:s JVM-implementering med avseende på CVE-beskrivningen.
DPA-teknikerna har utfört genomsökningar av tredjepartsbibliotek, källkodsanalys och webbprogramssäkerhetstestning runt den här säkerhetsproblemsrapporten. Dessa genomsökningar och tester som utförs mot DPA har visat att sådana attacker inte är möjliga.
Det här säkerhetsproblemet gäller för Java Webstart-program och inte DPA. Som nämnts i CVE-beskrivningen från NIST:s nationella sårbarhetsdatabas på https://nvd.nist.gov/vuln/detail/CVE-2020-14803står det enligt nedan:
Det här säkerhetsproblemet gäller Java-distributioner, vanligtvis på klienter som kör sandboxed Java Web Start-program eller sandboxade Java-appletar, som läser in och kör icke-betrodd kod (t.ex. kod som kommer från internet) och förlitar sig på Java sandbox för säkerhet. Det här säkerhetsproblemet gäller inte Java-distributioner, vanligtvis på servrar, som läser in och kör endast betrodd kod.
Det här bekräftas även i säkerhetsvarningsbeskrivningen som utfärdas av Oracle i https://www.oracle.com/security-alerts/cpujan2021.html.
DPA:s Java JVM läses inte in eller tillåter körning av ej betrodd kod. Här är mer specifika detaljer om DPA:s JVM-implementering med avseende på CVE-beskrivningen.
Java Sandbox – DPA använder krypteringsbiblioteket Dell BSafe. Det här körs på samma JVM-server där DPA-programservern körs. Det finns inget avstängt utrymme självt, kallat Sandbox, där DPA upprätthåller kodsäkerhet. Det spelar in när en icke-betrodd kod kan köras på en JVM.
Icke-betrodd kod – omfattningen av detta beaktas vanligtvis när Java-appletar hämtas och körs i ett Java-program. I sådana fall, eftersom källan inte är känd, den nedladdade komponenten som ofta ses som icke-betrodd kod. I DPA:s paradigm inträffar installationen och distributionen på plats, eftersom det inte finns någon sådan appletkod som laddas ner och körs i DPA-serverns JVM.
Icke-betrodd kod – omfattningen av detta beaktas vanligtvis när Java-appletar hämtas och körs i ett Java-program. I sådana fall, eftersom källan inte är känd, den nedladdade komponenten som ofta ses som icke-betrodd kod. I DPA:s paradigm inträffar installationen och distributionen på plats, eftersom det inte finns någon sådan appletkod som laddas ner och körs i DPA-serverns JVM.
DPA-teknikerna har utfört genomsökningar av tredjepartsbibliotek, källkodsanalys och webbprogramssäkerhetstestning runt den här säkerhetsproblemsrapporten. Dessa genomsökningar och tester som utförs mot DPA har visat att sådana attacker inte är möjliga.
Risoluzione
Även om säkerhetsproblemet finns i Java 1.8u271 påverkas INTE DPA Java JVM av det här säkerhetsproblemet.
Har lösts i Data Protection Advisor 19.5 och senare. DPA 19.5 och senare levereras med Java 1.8u281 eller senare.
Kontakta Dells tekniska support om du vill ha mer information.
Har lösts i Data Protection Advisor 19.5 och senare. DPA 19.5 och senare levereras med Java 1.8u281 eller senare.
Kontakta Dells tekniska support om du vill ha mer information.
Prodotti
Data Protection AdvisorProprietà dell'articolo
Numero articolo: 000187683
Tipo di articolo: Solution
Ultima modifica: 01 giu 2021
Versione: 1
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.