Data Protection Advisor (DPA): Sikkerhetsskanninger indikerer at Data Protection Advisor bruker Java 1.8u271 som har kjente sikkerhetsproblemer
摘要: Sikkerhetsskanninger indikerer at Data Protection Advisor bruker Java 1.8u271 som har sikkerhetsproblemer.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Sikkerhetsskanner (for eksempel: Nessus) indikerer at Data Protection Advisor (DPA) bruker Java versjon 1.8u271 (DPA 19.4 b36 og nyere) som har kjente sikkerhetsproblemer. Skanningen viser sikkerhetsproblemet nedenfor for Java 1.8 u271.
Du finner mer informasjon om dette sikkerhetsproblemet i NIST's National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE Risikomatrise
Denne kritiske oppdateringen inneholder én ny sikkerhetsoppdatering for Oracle Java SE. Dette sikkerhetsproblemet kan utnyttes eksternt uten godkjenning, det vil si, kan utnyttes over et nettverk uten å kreve brukerlegitimasjon.
CVE-2020-14803 Java SE, Java SE innebygde biblioteker Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Innebygd Java SE: Merknader for 8u271:
Dette sikkerhetsproblemet gjelder Java-implementeringer som laster inn og kjører ikke-klarert kode (for eksempel kode som kommer fra Internett), og er avhengig av Java-sandkassen for sikkerhet.
Denne kritiske oppdateringen inneholder én ny sikkerhetsoppdatering for Oracle Java SE. Dette sikkerhetsproblemet kan utnyttes eksternt uten godkjenning, det vil si, kan utnyttes over et nettverk uten å kreve brukerlegitimasjon.
CVE-2020-14803 Java SE, Java SE innebygde biblioteker Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Innebygd Java SE: Merknader for 8u271:
Dette sikkerhetsproblemet gjelder Java-implementeringer som laster inn og kjører ikke-klarert kode (for eksempel kode som kommer fra Internett), og er avhengig av Java-sandkassen for sikkerhet.
Du finner mer informasjon om dette sikkerhetsproblemet i NIST's National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
Selv om versjonen av Java som brukes av DPA er 1.8 u271 (per DPA 19.4 b36), påvirkes ikke DPA Java JVM av dette sikkerhetsproblemet. Se følgende:
Dette sikkerhetsproblemet gjelder Java Webstart-applikasjoner og ikke for DPA. Som nevnt i CVE-beskrivelsen fra NIST National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803,står det som nedenfor:
Dette bekreftes også i beskrivelsen av sikkerhetsvarselet som utstedes av Oracle på https://www.oracle.com/security-alerts/cpujan2021.html.
DPA Java JVM laster ikke eller tillater kjøring av ikke-klarert kode. Her er mer spesifikke detaljer om DPA JVM-implementering med hensyn til CVE-beskrivelsen.
DPA Engineering har utført tredjeparts bibliotekskanninger, analyse av kildekode og webapplikasjonssikkerhetstesting rundt denne rapporten om sikkerhetsproblemer. Disse skanningene og testene som utføres mot DPA, har vist at slike angrep ikke er mulige.
Dette sikkerhetsproblemet gjelder Java Webstart-applikasjoner og ikke for DPA. Som nevnt i CVE-beskrivelsen fra NIST National Vulnerability Database på https://nvd.nist.gov/vuln/detail/CVE-2020-14803,står det som nedenfor:
Dette sikkerhetsproblemet gjelder Java-implementeringer, vanligvis i klienter som kjører Java Web Start-applikasjoner med sandkasse eller Java-appleter med sandkasse, som laster inn og kjører ikke-klarert kode (for eksempel kode som kommer fra Internett) og er avhengig av Java sandkasse for sikkerhet. Dette sikkerhetsproblemet gjelder ikke for Java-implementeringer, vanligvis på servere, som laster inn og kjører bare klarert kode.
Dette bekreftes også i beskrivelsen av sikkerhetsvarselet som utstedes av Oracle på https://www.oracle.com/security-alerts/cpujan2021.html.
DPA Java JVM laster ikke eller tillater kjøring av ikke-klarert kode. Her er mer spesifikke detaljer om DPA JVM-implementering med hensyn til CVE-beskrivelsen.
Java Sandkasse – DPA bruker Dell BSafe Crypto-biblioteket. Dette kjører i samme JVM der DPA-applikasjonsserveren kjører på. Det er ingen bortgjemt plass alene kalt Sandkasse, mens DPA opprettholder «kodesikkerhet». Den kommer inn i bildet når det ikke-klarerte ekthetskoder kan kjøres på en JVM.
Ikke-klarert kode – omfanget av dette tar vanligvis hensyn til når Java-appleter lastes ned og kjøres i et Java-program. I slike tilfeller, siden kilden ikke er kjent, blir den nedlastede gjenstanden som ofte anses som ikke-klarert kode. I DPA's paradigme skjer installasjonen og implementeringen på stedet for å hindre at slike appletkoder lastes ned og kjøres i DPA-serverens JVM.
Ikke-klarert kode – omfanget av dette tar vanligvis hensyn til når Java-appleter lastes ned og kjøres i et Java-program. I slike tilfeller, siden kilden ikke er kjent, blir den nedlastede gjenstanden som ofte anses som ikke-klarert kode. I DPA's paradigme skjer installasjonen og implementeringen på stedet for å hindre at slike appletkoder lastes ned og kjøres i DPA-serverens JVM.
DPA Engineering har utført tredjeparts bibliotekskanninger, analyse av kildekode og webapplikasjonssikkerhetstesting rundt denne rapporten om sikkerhetsproblemer. Disse skanningene og testene som utføres mot DPA, har vist at slike angrep ikke er mulige.
解析度
Selv om sikkerhetsproblemet finnes i Java 1.8u271, påvirkes ikke DPA Java JVM av dette sikkerhetsproblemet.
Løst i Data Protection Advisor 19.5 og nyere. DPA 19.5 og nyere leveres med Java 1.8u281 eller nyere.
Kontakt Dells tekniske kundestøtte hvis du vil ha mer informasjon.
Løst i Data Protection Advisor 19.5 og nyere. DPA 19.5 og nyere leveres med Java 1.8u281 eller nyere.
Kontakt Dells tekniske kundestøtte hvis du vil ha mer informasjon.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。