Data Protection Advisor (DPA): Sikkerhedsscanninger angiver, at Data Protection Advisor bruger Java 1.8u271, som har kendskab til sårbarheder
摘要: Sikkerhedsscanninger angiver, at Data Protection Advisor bruger Java 1.8u271, som har sikkerhedsrisici.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Sikkerhedsscanner (f.eks.: Nessus) angiver, at Data Protection Advisor (DPA) bruger Java-version 1.8u271 (DPA 19.4 b36 og nyere), som har kendte sårbarheder. Scanningen henviser til nedenstående sårbarhed for Java 1.8 u271.
Yderligere oplysninger om denne sårbarhed findes i NIST's National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE-risikomatrix
Denne kritiske patchopdatering indeholder 1 ny sikkerhedsrettelse til Oracle Java SE. Denne sårbarhed kan udnyttes via fjernadgang uden godkendelse, dvs. kan udnyttes over et netværk uden at kræve brugerlegitimationsoplysninger.
CVE-2020-14803 Java SE, Java SE Integrerede biblioteker flere Ja 5.3 netværk lavt ingen ingen uændret lav Ingen Ingen Java SE: 7u281, 8u271; Java SE indlejret: Bemærkninger til 8u271:
Denne sikkerhedsrisiko gælder for Java-implementeringer, der indlæser og kører upålidelig kode (f.eks. kode, der kommer fra internettet) og er afhængige af Java-sandkasse for sikkerhed.
Denne kritiske patchopdatering indeholder 1 ny sikkerhedsrettelse til Oracle Java SE. Denne sårbarhed kan udnyttes via fjernadgang uden godkendelse, dvs. kan udnyttes over et netværk uden at kræve brugerlegitimationsoplysninger.
CVE-2020-14803 Java SE, Java SE Integrerede biblioteker flere Ja 5.3 netværk lavt ingen ingen uændret lav Ingen Ingen Java SE: 7u281, 8u271; Java SE indlejret: Bemærkninger til 8u271:
Denne sikkerhedsrisiko gælder for Java-implementeringer, der indlæser og kører upålidelig kode (f.eks. kode, der kommer fra internettet) og er afhængige af Java-sandkasse for sikkerhed.
Yderligere oplysninger om denne sårbarhed findes i NIST's National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
Selvom den version af Java, der anvendes af DPA, er 1.8 u271 (pr. DPA 19.4 b36), påvirkes DPA Java JVM ikke af denne sikkerhedsrisiko. Se følgende:
Denne sikkerhedsrisiko gælder for Java Webstart-programmer og ikke for DPA. Som det er anført i CVE-beskrivelsen fra NIST National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803,fremgår det som nedenfor:
Dette bekræftes også i beskrivelsen af sikkerhedsadvarsler, der udstedes af Oracle på https://www.oracle.com/security-alerts/cpujan2021.html.
DPA's Java JVM indlæser ikke eller tillader ikke kørsel af upålidelig kode. Her er mere specifikke detaljer om DPA's JVM-implementering med hensyn til CVE-beskrivelsen.
DPA Engineering har udført tredjepartsbiblioteksscanninger, kildekodeanalyse og webprogramsikkerhedstest omkring denne sårbarhedsrapport. Disse scanninger og test, der udføres mod DPA, har vist, at sådanne angreb ikke er mulige.
Denne sikkerhedsrisiko gælder for Java Webstart-programmer og ikke for DPA. Som det er anført i CVE-beskrivelsen fra NIST National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803,fremgår det som nedenfor:
Denne sikkerhedsrisiko gælder for Java-implementeringer, typisk i klienter, der kører sandkasserede Java-webstartprogrammer eller sandkasserede Java-applets, der indlæser og kører upålidelig kode (f.eks. kode, der kommer fra internettet) og er baseret på Java-sandkasse for sikkerhed. Denne sikkerhedsrisiko gælder ikke for Java-implementeringer, typisk på servere, der kun indlæser og kører betroet kode.
Dette bekræftes også i beskrivelsen af sikkerhedsadvarsler, der udstedes af Oracle på https://www.oracle.com/security-alerts/cpujan2021.html.
DPA's Java JVM indlæser ikke eller tillader ikke kørsel af upålidelig kode. Her er mere specifikke detaljer om DPA's JVM-implementering med hensyn til CVE-beskrivelsen.
Java Sandkasse - DPA bruger Dell BSafe-kryptobiblioteket. Dette kører i samme JVM, hvor DPA-programserveren kører på. Der er ingen isoleret plads, der selv kaldes Sandkasse, hvor DPA opretholder "kodesikkerhed". Det kommer i spil, når plausibel upålidelig kode kan køre på et JVM.
Upålidelig kode - Omfanget af dette tages typisk i betragtning, når Java-applets downloades og køres inde i et Java-program. I sådanne tilfælde, da kilden ikke er kendt, er den downloadede enhed, der ofte anses for at være upålidelig kode. I DPA's paradigme sker installationen og/eller implementeringen onsite uden mulighed for at have en sådan appletkode downloadet og kørt i DPA-serverens JVM.
Upålidelig kode - Omfanget af dette tages typisk i betragtning, når Java-applets downloades og køres inde i et Java-program. I sådanne tilfælde, da kilden ikke er kendt, er den downloadede enhed, der ofte anses for at være upålidelig kode. I DPA's paradigme sker installationen og/eller implementeringen onsite uden mulighed for at have en sådan appletkode downloadet og kørt i DPA-serverens JVM.
DPA Engineering har udført tredjepartsbiblioteksscanninger, kildekodeanalyse og webprogramsikkerhedstest omkring denne sårbarhedsrapport. Disse scanninger og test, der udføres mod DPA, har vist, at sådanne angreb ikke er mulige.
解析度
Selvom sikkerhedsrisikoen findes i Java 1.8u271, påvirkes DPA Java JVM ikke af denne sikkerhedsrisiko.
Løst i Data Protection Advisor 19.5 og nyere. DPA 19.5 og nyere leveres med Java 1.8u281 eller nyere.
Kontakt Dells tekniske support for at få yderligere oplysninger.
Løst i Data Protection Advisor 19.5 og nyere. DPA 19.5 og nyere leveres med Java 1.8u281 eller nyere.
Kontakt Dells tekniske support for at få yderligere oplysninger.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。