Data Protection Advisor (DPA): Bezpečnostní kontroly ukazují, že nástroj Data Protection Advisor používá verzi Java 1.8u271, která obsahuje známé chyby zabezpečení
摘要: Bezpečnostní kontroly ukazují, že nástroj Data Protection Advisor používá verzi Java 1.8u271, která obsahuje chyby zabezpečení.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Nástroj bezpečnostní kontroly (například Nessus) uvádí, že nástroj Data Protection Advisor (DPA) používá verzi Java 1.8u271 (DPA 19.4 b36 a novější), která obsahuje známé chyby zabezpečení. Kontrola zobrazuje níže uvedenou chybu zabezpečení verze Java 1.8 u271.
Další podrobnosti o této chybě zabezpečení naleznete v národní databázi chyb zabezpečení NIST na adrese https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE Risk Matrix
This Critical Patch Update contains 1 new security patch for Oracle Java SE. This vulnerability is remotely exploitable without authentication, that is, may be exploited over a network without requiring user credentials.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notes: This vulnerability applies to Java deployments that load and run untrusted code (such as, code that comes from the Internet) and rely on the Java sandbox for security.
This Critical Patch Update contains 1 new security patch for Oracle Java SE. This vulnerability is remotely exploitable without authentication, that is, may be exploited over a network without requiring user credentials.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notes: This vulnerability applies to Java deployments that load and run untrusted code (such as, code that comes from the Internet) and rely on the Java sandbox for security.
Další podrobnosti o této chybě zabezpečení naleznete v národní databázi chyb zabezpečení NIST na adrese https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
Ačkoli nástroj DPA (od verze DPA 19.4 b36) používá verzi Java 1.8 u271, virtuálního počítače DPA Java se tato chyba zabezpečení netýká. Viz následující část:
Tato chyba zabezpečení se týká aplikací Java Webstart, nikoli nástroje DPA. Jak je uvedeno v popisu CVE v národní databázi chyb zabezpečení NIST (National Vulnerability Database) na adrese https://nvd.nist.gov/vuln/detail/CVE-2020-14803:
To je také potvrzeno v popisu bezpečnostní výstrahy vydaném společností Oracle na adrese https://www.oracle.com/security-alerts/cpujan2021.html
Virtuální počítač Java nástroje DPA se nenačte ani nepovolí spuštění nedůvěryhodného kódu. Zde jsou uvedeny podrobnější informace o implementaci virtuálního počítače Java nástroje DPA s ohledem na popis CVE.
Technický tým DPA provedl u tohoto hlášení o chybě zabezpečení kontroly knihovny třetích stran, analýzu zdrojového kódu a testování zabezpečení webových aplikací. Tyto kontroly a testy prováděné na nástroji DPA ukazují, že takové útoky nejsou možné.
Tato chyba zabezpečení se týká aplikací Java Webstart, nikoli nástroje DPA. Jak je uvedeno v popisu CVE v národní databázi chyb zabezpečení NIST (National Vulnerability Database) na adrese https://nvd.nist.gov/vuln/detail/CVE-2020-14803:
Tato chyba zabezpečení se týká nasazení Java, obvykle v klientech, kteří používají izolované aplikace Java Web Start nebo izolované aplety Java, které načítají a spouštějí nedůvěryhodný kód (například kód pocházející z internetu) a v otázkách bezpečnosti se spoléhají na prostředí Java Sandbox. Tato chyba zabezpečení se nevztahuje na nasazení Java, obvykle na serverech, které načítá a spouští pouze důvěryhodný kód.
To je také potvrzeno v popisu bezpečnostní výstrahy vydaném společností Oracle na adrese https://www.oracle.com/security-alerts/cpujan2021.html
Virtuální počítač Java nástroje DPA se nenačte ani nepovolí spuštění nedůvěryhodného kódu. Zde jsou uvedeny podrobnější informace o implementaci virtuálního počítače Java nástroje DPA s ohledem na popis CVE.
Java Sandbox – Nástroj DPA používá šifrovací knihovnu Dell BSafe. Ta se spouští ve stejném virtuálním počítači Java, na kterém běží aplikační server DPA. Neexistuje žádné samostatné místo nazývané Sandbox, kde by nástroj DPA udržoval zabezpečení kódu. Do hry přichází ve chvíli, kdy by mohlo dojít ke spuštění potenciálně nedůvěryhodného kódu na virtuálním počítači Java.
Nedůvěryhodný kód – obvykle je třeba postupovat opatrně, když jsou aplety Java staženy a spuštěny v programu Java. V takových případech je stažený soubor často považován za nedůvěryhodný kód, protože zdroj není znám. V modelu DPA dochází k instalaci či nasazení přímo v zařízení, což vyřazuje možnost stažení a spuštění takového kódu apletu ve virtuálním počítači Java na serveru DPA.
Nedůvěryhodný kód – obvykle je třeba postupovat opatrně, když jsou aplety Java staženy a spuštěny v programu Java. V takových případech je stažený soubor často považován za nedůvěryhodný kód, protože zdroj není znám. V modelu DPA dochází k instalaci či nasazení přímo v zařízení, což vyřazuje možnost stažení a spuštění takového kódu apletu ve virtuálním počítači Java na serveru DPA.
Technický tým DPA provedl u tohoto hlášení o chybě zabezpečení kontroly knihovny třetích stran, analýzu zdrojového kódu a testování zabezpečení webových aplikací. Tyto kontroly a testy prováděné na nástroji DPA ukazují, že takové útoky nejsou možné.
解析度
Přestože se chyba zabezpečení týká verze Java 1.8u271, virtuální počítač Java nástroje DPA není ovlivněn.
Problém je vyřešen v nástroji Data Protection Advisor 19.5 a novějším. Nástroj DPA 19.5 a novější se dodává s verzí Java 1.8u281 nebo novější.
Další podrobnosti a informace vám poskytne technická podpora společnosti Dell.
Problém je vyřešen v nástroji Data Protection Advisor 19.5 a novějším. Nástroj DPA 19.5 a novější se dodává s verzí Java 1.8u281 nebo novější.
Další podrobnosti a informace vám poskytne technická podpora společnosti Dell.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。