Устранение уязвимостей Java в OpenManage Server Administrator путем модернизации Java Runtime

Стороннее приложение сканера безопасности может обнаружить наличие библиотек среды выполнения Java 11, входящих в пакет Dell OpenManage Server Administrator, и выявить множество уязвимостей безопасности. Многие сканеры, как правило, перечисляют все известные уязвимости, задокументированные проектами OpenJDK 11.

Java — это среда прикладного программирования, поэтому обычно обнаруживается, что большинство уязвимостей безопасности Java не применимы к Server Administrator, потому что уязвимость относится к определенной библиотеке или функции, которые Server Administrator не используют.

Однако Server Administrator может загрузить альтернативную среду выполнения Java версии 11, установленную в операционной системе, которая может быть новее, чем версия Java 11, входящая в пакет OMSA. Это можно сделать, выполнив указанные ниже действия по разрешению проблемы .

Некоторые сторонние сканеры безопасности по-прежнему сообщают о ложных срабатываниях из-за простого сканирования на основе файлов в операционной системе и обнаружения устаревшей Java 11, даже если вместо нее загружена более новая альтернативная среда выполнения Java. Замену старой версии Java 11 можно выполнить, выполнив следующие шаги по разрешению проблемы .

Server Administrator 10.3 и более новые версии были только протестированы и официально поддерживают бесплатный проект OpenJDK 11 Eclipse Temurin (ранее Adoptium). Установочный пакет Temurin Java 11, Standard Edition для Windows и Linux можно скачать по адресу:

https://adoptium.net/temurin/releases/?version=11

Примечание. Server Administrator поддерживает только версии Java 11. Не загружайте и не используйте проекты OpenJDK Java 17 или более поздних версий, так как их интерфейс прикладного программирования содержит более новые, устаревшие и измененные функции Java, которые могут повлиять на функцию графического интерфейса Server Administrator.

Указание администратора сервера для загрузки альтернативной среды Temurin Java 11

1. С веб-сайта Adoptium загрузите версию меньшего пакета JRE для Windows или Linux с архитектурой «x64»
2. Следуйте инструкциям по установке альтернативного пакета среды выполнения Java в операционную систему на каждом хосте или с помощью сторонних средств развертывания
3. Запустите графический веб-интерфейс Server Administrator из браузера.
4. Перейдите в раздел «Настройки» (правая верхняя страница), затем «Общие настройки » (в левом поле)
5. Прокрутите вниз до раздела Java Runtime Environment и включите System JRE/JDK
6. Если Server Administrator распознает существующую установленную альтернативную среду выполнения Java, она укажет версию в раскрывающемся меню
7. Нажмите кнопку Применить , и веб-служба Server Administrator должна перезапуститься.

Кроме того, этот параметр можно также программно изменить с помощью командной строки Server Administrator. Это также полезно, если была допущена ошибка и веб-интерфейс больше недоступен. Чтобы вывести список текущих альтернативных версий Java, выполните следующие действия.

omreport preferences webserver attribute=getjrelist

Чтобы изменить эту настройку, выполните следующие действия.

omconfig preferences webserver attribute=setjre jreversion=<version>

Перезапустите DSM SA Connection Service в Windows или dsm_om_connsvc.service в Linux.

Чтобы изменить предпочтительную среду выполнения Java обратно на включенную версию в Server Administrator, если была допущена ошибка и веб-интерфейс больше не доступен, выполните следующие действия.

omconfig preferences webserver attribute=setjre jreversion=<version>

Замена среды выполнения Java, входящей в состав Server Administrator

Примечание.: Этот метод требует развертывания вручную и рекомендуется только для обработки ложных сообщений от файлового сканера безопасности. Версия заменяющей среды выполнения Java также не отражается на странице «Программное обеспечение» в веб-интерфейсе Server Administrator.

Примечание: Server Administrator поддерживает только версии Java 11. Не загружайте и не используйте проекты OpenJDK Java 17 или более поздних версий, так как их интерфейс прикладного программирования содержит более новые, устаревшие и измененные функции Java, которые могут повлиять на функцию графического интерфейса Server Administrator.

1. С веб-сайта Adoptium загрузите версию для Windows или Linux меньшего пакета JRE с архитектурой «x64». Убедитесь, что вы выбрали форматы .zip или .tar.gz соответственно.
2. Извлеките все содержимое файла в папку, переименованную в «jre»
3. Остановите «DSM SA Connection Service» в Windows или «dsm_om_connsvc.service» в Linux.
4. Переименуйте существующую папку в C:\Program Files\Dell\SysMgmt\jre\ (Windows) или /opt/dell/srvadmin/lib64/openmanage/jre/ (Linux)
5. Замените на более новый загруженный пакет среды выполнения Temurian Java 11, папка которого недавно была переименована в «jre»
6. Запустите веб-службу Server Administrator.