Data Protection Advisor (DPA): Beveiligingsscans geven aan dat Data Protection Advisor Java 1.8u271 gebruikt die beveiligingslekken heeft
摘要: Beveiligingsscans geven aan dat Data Protection Advisor Java 1.8u271 gebruikt met beveiligingslekken.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Beveiligingsscanner (bijvoorbeeld: Nessus) geeft aan dat Data Protection Advisor (DPA) Java versie 1.8u271 (DPA 19.4 b36 en hoger) gebruikt die bekende beveiligingslekken heeft. De scan verwijst naar het onderstaande beveiligingslek voor Java 1.8 u271.
Meer informatie over dit beveiligingslek vindt u in de NIST National Vulnerability Database op https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE Risk Matrix
Deze kritieke patch-update bevat 1 nieuwe beveiligingspatch voor Oracle Java SE. Dit beveiligingslek kan op afstand worden misbruikt zonder authenticatie, dat wil betekent dat het kan worden misbruikt via een netwerk zonder dat gebruikersreferenties nodig zijn.
CVE-2020-14803 Java SE, Java SE embedded libraries Multiple Yes 5.3 Network Low None None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
opmerkingen: Dit beveiligingslek is van toepassing op Java-implementaties die onbetrouwbare code laden en uitvoeren (zoals code die afkomstig is van internet) en voor beveiliging vertrouwen op de Java Sandbox.
Deze kritieke patch-update bevat 1 nieuwe beveiligingspatch voor Oracle Java SE. Dit beveiligingslek kan op afstand worden misbruikt zonder authenticatie, dat wil betekent dat het kan worden misbruikt via een netwerk zonder dat gebruikersreferenties nodig zijn.
CVE-2020-14803 Java SE, Java SE embedded libraries Multiple Yes 5.3 Network Low None None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
opmerkingen: Dit beveiligingslek is van toepassing op Java-implementaties die onbetrouwbare code laden en uitvoeren (zoals code die afkomstig is van internet) en voor beveiliging vertrouwen op de Java Sandbox.
Meer informatie over dit beveiligingslek vindt u in de NIST National Vulnerability Database op https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
Hoewel de versie van Java die door DPA wordt gebruikt 1.8 u271 is (vanaf DPA 19.4 b36), wordt de DPA Java JVM niet beïnvloed door dit beveiligingslek. Zie het volgende:
Dit beveiligingslek is van toepassing op Java Webstart-applicaties en niet op DPA. Zoals aangegeven in de CVE-beschrijving van de NIST National Vulnerability Database op https://nvd.nist.gov/vuln/detail/CVE-2020-14803,wordt het als volgt gelezen:
Dit wordt ook bevestigd in de beschrijving van de beveiligingswaarschuwing die door Oracle op https://www.oracle.com/security-alerts/cpujan2021.htmlwordt uitgegeven.
Java JVM van DPA laadt of staat het uitvoeren van niet-vertrouwde code niet toe. Hier zijn meer specifieke details over de JVM-implementatie van DPA met betrekking tot de CVE-beschrijving.
DPA Engineering heeft externe bibliotheekscans, broncodeanalyses en webapplicatiebeveiligingstests uitgevoerd rond dit beveiligingslekrapport. Deze scans en tests die worden uitgevoerd op DPA hebben aangetoond dat dergelijke aanvallen niet mogelijk zijn.
Dit beveiligingslek is van toepassing op Java Webstart-applicaties en niet op DPA. Zoals aangegeven in de CVE-beschrijving van de NIST National Vulnerability Database op https://nvd.nist.gov/vuln/detail/CVE-2020-14803,wordt het als volgt gelezen:
Dit beveiligingslek is van toepassing op Java-implementaties, meestal in clients met sandboxed Java Web Start-applicaties of sandboxed Java-applets, die onbetrouwbare code laden en uitvoeren (zoals code die afkomstig is van internet) en voor beveiliging vertrouwen op de Java Sandbox. Dit beveiligingslek is niet van toepassing op Java-implementaties, meestal op servers, die alleen vertrouwde code laden en uitvoeren.
Dit wordt ook bevestigd in de beschrijving van de beveiligingswaarschuwing die door Oracle op https://www.oracle.com/security-alerts/cpujan2021.htmlwordt uitgegeven.
Java JVM van DPA laadt of staat het uitvoeren van niet-vertrouwde code niet toe. Hier zijn meer specifieke details over de JVM-implementatie van DPA met betrekking tot de CVE-beschrijving.
Java Sandbox - DPA maakt gebruik van de Dell BSafe cryptobibliotheek. Dit wordt uitgevoerd in dezelfde JVM waarop de DPA-applicatieserver wordt uitgevoerd. Er is geen afgeschermde ruimte op zichzelf genaamd Sandbox, waarbij DPA 'codebeveiliging' handhaaft. Het speelt zich af wanneer plausibele niet-vertrouwde code kan worden uitgevoerd op een JVM.
Niet-vertrouwde code - Het bereik hiervan wordt meestal in overweging genomen wanneer Java-applets worden gedownload en uitgevoerd in een Java-programma. In dergelijke gevallen, omdat de bron niet bekend is, wordt het gedownloade artikel vaak gezien als niet-vertrouwde code. In het paradigma van DPA vindt de installatie en of implementatie plaats op locatie met de optie om een dergelijke appletcode te downloaden en uit te voeren in de JVM van de DPA-server.
Niet-vertrouwde code - Het bereik hiervan wordt meestal in overweging genomen wanneer Java-applets worden gedownload en uitgevoerd in een Java-programma. In dergelijke gevallen, omdat de bron niet bekend is, wordt het gedownloade artikel vaak gezien als niet-vertrouwde code. In het paradigma van DPA vindt de installatie en of implementatie plaats op locatie met de optie om een dergelijke appletcode te downloaden en uit te voeren in de JVM van de DPA-server.
DPA Engineering heeft externe bibliotheekscans, broncodeanalyses en webapplicatiebeveiligingstests uitgevoerd rond dit beveiligingslekrapport. Deze scans en tests die worden uitgevoerd op DPA hebben aangetoond dat dergelijke aanvallen niet mogelijk zijn.
解析度
Hoewel het beveiligingslek bestaat in Java 1.8u271, heeft de DPA Java JVM geen last van dit beveiligingslek.
Opgelost in Data Protection Advisor 19.5 en hoger. DPA 19.5 en hoger worden geleverd met Java 1.8u281 of hoger.
Neem contact op met de technische support van Dell voor meer details of informatie.
Opgelost in Data Protection Advisor 19.5 en hoger. DPA 19.5 en hoger worden geleverd met Java 1.8u281 of hoger.
Neem contact op met de technische support van Dell voor meer details of informatie.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。