Data Protection Advisor (DPA) : les analyses de sécurité indiquent que Data Protection Advisor utilise Java 1.8u271 qui présente des failles de sécurité
摘要: Les analyses de sécurité indiquent que Data Protection Advisor utilise Java 1.8u271 qui présente des failles de sécurité.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Le scanner de sécurité (exemple : Nessus) indique que Data Protection Advisor (DPA) utilise Java version 1.8u271 (DPA 19.4 b36 et versions supérieures) qui présente des failles de sécurité connues. L’analyse fait référence à la faille de sécurité ci-dessous pour Java 1.8 u271.
Pour plus d’informations sur cette faille de sécurité, consultez la base de données nationale des failles de sécurité du NIST à l’adresse https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE Risk Matrix
Cette mise à jour de correctif critique contient 1 nouveau correctif de sécurité pour Oracle Java SE. Cette faille de sécurité est exploitable à distance sans authentification, autrement dit, elle peut être exploitée sur un réseau sans nécessiter d’informations d’identification de l’utilisateur.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Remarques : cette faille de sécurité s’applique aux déploiements Java qui chargent et exécutent du code non fiable (par exemple, le code provenant d’Internet) et qui s’appuient sur le sandbox Java pour assurer la sécurité.
Cette mise à jour de correctif critique contient 1 nouveau correctif de sécurité pour Oracle Java SE. Cette faille de sécurité est exploitable à distance sans authentification, autrement dit, elle peut être exploitée sur un réseau sans nécessiter d’informations d’identification de l’utilisateur.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Remarques : cette faille de sécurité s’applique aux déploiements Java qui chargent et exécutent du code non fiable (par exemple, le code provenant d’Internet) et qui s’appuient sur le sandbox Java pour assurer la sécurité.
Pour plus d’informations sur cette faille de sécurité, consultez la base de données nationale des failles de sécurité du NIST à l’adresse https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
Bien que la version de Java utilisée par DPA soit 1.8 u271 (à partir de DPA 19.4 b36), la JVM Java DPA n’est pas affectée par cette faille de sécurité. Reportez-vous aux sections suivantes :
Cette faille de sécurité s’applique aux applications Java Webstart et non à DPA. Comme indiqué dans la description CVE de la base de données nationale des failles de sécurité du NIST à l’adresse https://nvd.nist.gov/vuln/detail/CVE-2020-14803 :
Cela est également confirmé dans la description de l’alerte de sécurité émise par Oracle à l’adresse https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM de DPA ne charge pas ou n’autorise pas l’exécution d’un code non fiable. Voici des détails plus spécifiques sur l’implémentation JVM de DPA en ce qui concerne la description CVE.
L’équipe d’ingénieurs de DPA a effectué des analyses de bibliothèque tierces, l’analyse du code source et des tests de sécurité des applications Web autour de ce rapport de faille de sécurité. Ces analyses et tests effectués contre DPA ont montré que de telles attaques ne sont pas possibles.
Cette faille de sécurité s’applique aux applications Java Webstart et non à DPA. Comme indiqué dans la description CVE de la base de données nationale des failles de sécurité du NIST à l’adresse https://nvd.nist.gov/vuln/detail/CVE-2020-14803 :
Cette faille de sécurité s’applique aux déploiements Java, généralement dans les clients exécutant des applications Java Web Start Sandbox ou des applets Java Sandbox, qui chargent et exécutent du code non fiable (par exemple, le code provenant d’Internet) et s’appuient sur le sandbox Java pour la sécurité. Cette faille de sécurité ne s’applique pas aux déploiements Java, généralement dans les serveurs, qui chargent et exécutent uniquement du code fiable.
Cela est également confirmé dans la description de l’alerte de sécurité émise par Oracle à l’adresse https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM de DPA ne charge pas ou n’autorise pas l’exécution d’un code non fiable. Voici des détails plus spécifiques sur l’implémentation JVM de DPA en ce qui concerne la description CVE.
Java Sandbox : DPA utilise la bibliothèque cryptographique Dell BSafe. Elle s’exécute dans la même JVM que le serveur d’applications DPA. Il n’y a pas d’espace de séparation appelé Sandbox dans lequel DPA maintient la « sécurité du code ». Il entre en jeu lorsque le code non fiable pourrait s’exécuter sur une JVM.
Code non fiable : le champ d’application de ce code est généralement pris en compte lorsque les applets Java sont téléchargés et exécutés dans un programme Java. Dans ce cas, étant donné que la source n’est pas connue, l’élément téléchargé est souvent considéré comme du code non fiable. Dans le paradigme de DPA, l’installation et/ou le déploiement se produisent sur site, sauf si un code d’applet de ce type est téléchargé et exécuté dans la JVM du serveur.
Code non fiable : le champ d’application de ce code est généralement pris en compte lorsque les applets Java sont téléchargés et exécutés dans un programme Java. Dans ce cas, étant donné que la source n’est pas connue, l’élément téléchargé est souvent considéré comme du code non fiable. Dans le paradigme de DPA, l’installation et/ou le déploiement se produisent sur site, sauf si un code d’applet de ce type est téléchargé et exécuté dans la JVM du serveur.
L’équipe d’ingénieurs de DPA a effectué des analyses de bibliothèque tierces, l’analyse du code source et des tests de sécurité des applications Web autour de ce rapport de faille de sécurité. Ces analyses et tests effectués contre DPA ont montré que de telles attaques ne sont pas possibles.
解析度
Bien que la faille de sécurité existe dans Java 1.8u271, la JVM Java DPA n’est pas affectée par cette faille de sécurité.
Résolu dans Data Protection Advisor 19.5 et versions supérieures. DPA 19.5 et versions supérieures sont fournis avec Java 1.8u281 ou version supérieure.
Pour plus d’informations, contactez le support technique Dell.
Résolu dans Data Protection Advisor 19.5 et versions supérieures. DPA 19.5 et versions supérieures sont fournis avec Java 1.8u281 ou version supérieure.
Pour plus d’informations, contactez le support technique Dell.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。