Data Protection Advisor(DPA):セキュリティ スキャンにより、Data Protection Advisorが既知の脆弱性を持つJava 1.8u271を使用していることが示される
摘要: セキュリティ スキャンにより、Data Protection Advisorが脆弱性のあるJava 1.8u271を使用していることが示されています。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
セキュリティ スキャナー(例:Nessus)が、Data Protection Advisor (DPA)が既知の脆弱性を持つJavaバージョン1.8u271(DPA 19.4 b36以降)を使用していることを示しています。このスキャンは、Java 1.8 u271の以下の脆弱性を示しています。
この脆弱性の詳細については、NISTのNational Vulnerability Database (https://nvd.nist.gov/vuln/detail/CVE-2020-14803)を参照してください。
Oracle Java SE Risk Matrix
この重要なパッチ アップデートには、Oracle Java SEの新しいセキュリティ パッチが1つ含まれています。この脆弱性は、認証なしでリモートで悪用できます。つまり、ユーザー資格情報を要求することなく、ネットワーク経由で悪用される可能性があります。
CVE-2020-14803 Java SE、Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE:7u281、8u271、Java SE Embedded:8u271
メモ:この脆弱性は、信頼できないコード(インターネットからのコードなど)をロードして実行し、セキュリティをJavaサンドボックスに依存するJava導入環境が対象となります。
この重要なパッチ アップデートには、Oracle Java SEの新しいセキュリティ パッチが1つ含まれています。この脆弱性は、認証なしでリモートで悪用できます。つまり、ユーザー資格情報を要求することなく、ネットワーク経由で悪用される可能性があります。
CVE-2020-14803 Java SE、Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE:7u281、8u271、Java SE Embedded:8u271
メモ:この脆弱性は、信頼できないコード(インターネットからのコードなど)をロードして実行し、セキュリティをJavaサンドボックスに依存するJava導入環境が対象となります。
この脆弱性の詳細については、NISTのNational Vulnerability Database (https://nvd.nist.gov/vuln/detail/CVE-2020-14803)を参照してください。
原因
DPAで使用されているJavaのバージョンは1.8 u271(DPA 19.4 b36時点)ですが、DPA Java JVMはこの脆弱性の影響を受けません。以下を参照してください。
この脆弱性は、DPAではなくJava Webstartアプリケーションを対象としています。NISTのNational Vulnerability Database (https://nvd.nist.gov/vuln/detail/CVE-2020-14803)のCVEの説明に記載されているように、次のように表示されます。
これは、Oracleによって発行されたセキュリティ アラートの説明(https://www.oracle.com/security-alerts/cpujan2021.html)でも確認できます。
DPAのJava JVMは、信頼されていないコードをロードしたり、実行を許可したりしません。CVEの説明に関するDPAのJVM実装について、より具体的な詳細を以下に示します。
DPAエンジニアリングは、この脆弱性レポートに関するサード パーティー ライブラリーのスキャン、ソース コード分析、Webアプリケーション セキュリティ テストを実行しました。DPAに対して実行されるこれらのスキャンとテストでは、このような攻撃は不可能であると示されています。
この脆弱性は、DPAではなくJava Webstartアプリケーションを対象としています。NISTのNational Vulnerability Database (https://nvd.nist.gov/vuln/detail/CVE-2020-14803)のCVEの説明に記載されているように、次のように表示されます。
この脆弱性は、通常はサンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで、信頼できないコード(インターネットからのコードなど)をロードして実行し、セキュリティをJavaサンドボックスに依存するJava導入環境が対象となります。この脆弱性は、信頼できるコードのみをロードして実行するJava導入環境(通常はサーバー)は対象となりません。
これは、Oracleによって発行されたセキュリティ アラートの説明(https://www.oracle.com/security-alerts/cpujan2021.html)でも確認できます。
DPAのJava JVMは、信頼されていないコードをロードしたり、実行を許可したりしません。CVEの説明に関するDPAのJVM実装について、より具体的な詳細を以下に示します。
Javaサンドボックス - DPAはDell BSafe cryptoライブラリーを使用します。これは、DPAアプリケーション サーバーが実行されているのと同じJVMで実行されます。サンドボックスと呼ばれる、DPAが「コード セキュリティ」を維持する単独の領域があるわけではありません。これは、JVMで、妥当に見えるが信頼できないコードが実行される可能性がある場合に役立ちます。
信頼できないコード - この範囲は通常、Javaアプレットがダウンロードされ、Javaプログラム内で実行される場合に考慮されます。このような場合、ソースが不明であるため、ダウンロードされた部分は信頼できないコードと見なされることが多いです。DPAのパラダイムでは、DPAサーバーのJVMでダウンロードおよび実行されるそのようなアプレット コードを含むオプションがなければ、インストールや導入はオンサイトで行われます。
信頼できないコード - この範囲は通常、Javaアプレットがダウンロードされ、Javaプログラム内で実行される場合に考慮されます。このような場合、ソースが不明であるため、ダウンロードされた部分は信頼できないコードと見なされることが多いです。DPAのパラダイムでは、DPAサーバーのJVMでダウンロードおよび実行されるそのようなアプレット コードを含むオプションがなければ、インストールや導入はオンサイトで行われます。
DPAエンジニアリングは、この脆弱性レポートに関するサード パーティー ライブラリーのスキャン、ソース コード分析、Webアプリケーション セキュリティ テストを実行しました。DPAに対して実行されるこれらのスキャンとテストでは、このような攻撃は不可能であると示されています。
解析度
この脆弱性はJava 1.8u271に存在しますが、DPA Java JVMはこの脆弱性の影響を受けません。
Data Protection Advisor 19.5以降で解決済み。DPA 19.5以降には、Java 1.8u281以降が付属しています。
さらに詳しい情報については、Dellテクニカル サポートにお問い合わせください。
Data Protection Advisor 19.5以降で解決済み。DPA 19.5以降には、Java 1.8u281以降が付属しています。
さらに詳しい情報については、Dellテクニカル サポートにお問い合わせください。
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。