Data Protection Advisor (DPA): Skanowanie zabezpieczeń wskazuje, że Data Protection Advisor używa oprogramowania Java 1.8u271, które ma znane luki w zabezpieczeniach
摘要: Skanowanie zabezpieczeń wskazuje, że Data Protection Advisor używa oprogramowania Java 1.8u271, które ma luki w zabezpieczeniach.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Skaner zabezpieczeń (przykład: Nessus) wskazuje, że Data Protection Advisor (DPA) wykorzystuje oprogramowanie Java w wersji 1.8u271 (DPA 19.4 b36 lub nowszej), który ma znane luki w zabezpieczeniach. Skanowanie odnosi się do poniższej luki w zabezpieczeniach oprogramowania Java 1.8 u271.
Więcej informacji na temat tej luki w zabezpieczeniach można znaleźć w krajowej bazie danych o lukach w zabezpieczeniach NIST pod adresem https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Tabela ryzyka Oracle Java SE
Ta krytyczna aktualizacja poprawki zawiera 1 nową poprawkę zabezpieczeń dla oprogramowania Oracle Java SE. Ta luka w zabezpieczeniach może być wykorzystywana zdalnie bez uwierzytelniania, co oznacza, że może zostać wykorzystana w sieci bez konieczności użycia poświadczeń użytkownika.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Uwagi: Ta luka dotyczy wdrożeń Java, które ładują i uruchamiają niezaufany kod (na przykład kod pochodzący z Internetu) i polegają na środowisku Java sandbox w celu zabezpieczenia.
Ta krytyczna aktualizacja poprawki zawiera 1 nową poprawkę zabezpieczeń dla oprogramowania Oracle Java SE. Ta luka w zabezpieczeniach może być wykorzystywana zdalnie bez uwierzytelniania, co oznacza, że może zostać wykorzystana w sieci bez konieczności użycia poświadczeń użytkownika.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Uwagi: Ta luka dotyczy wdrożeń Java, które ładują i uruchamiają niezaufany kod (na przykład kod pochodzący z Internetu) i polegają na środowisku Java sandbox w celu zabezpieczenia.
Więcej informacji na temat tej luki w zabezpieczeniach można znaleźć w krajowej bazie danych o lukach w zabezpieczeniach NIST pod adresem https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
Chociaż wersja języka Java używana przez DPA to 1.8 u271 (od DPA 19.4 b36), ta luka nie wpływa na DPA Java JVM. Zapoznaj się z następującymi informacjami:
Ta luka dotyczy aplikacji Java Webstart, a nie DPA. Jak wskazano w opisie CVE z krajowej bazy danych o lukach w zabezpieczeniach NIST w https://nvd.nist.gov/vuln/detail/CVE-2020-14803, brzmi to następująco:
Zostało to również potwierdzone w opisie alertu bezpieczeństwa wydawanego przez firmę Oracle pod adresem https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM DPA nie ładuje się ani nie zezwala na uruchamianie niezaufanego kodu. Poniżej przedstawiono więcej szczegółów na temat implementacji JVM DPA w odniesieniu do opisu CVE.
W związku z tym raportem o lukach w zabezpieczeniach DPA Engineering przeprowadził skanowanie bibliotek innych firm, analizę kodu źródłowego i testowanie zabezpieczeń aplikacji internetowych. Te skany i testy wykonane w odniesieniu do DPA wykazały, że takie ataki nie są możliwe.
Ta luka dotyczy aplikacji Java Webstart, a nie DPA. Jak wskazano w opisie CVE z krajowej bazy danych o lukach w zabezpieczeniach NIST w https://nvd.nist.gov/vuln/detail/CVE-2020-14803, brzmi to następująco:
Ta luka dotyczy wdrożeń języka Java, zazwyczaj w przypadku klientów z uruchomionymi aplikacjami Java Web Start w środowisku sandboxed lub testowanymi apletami Java, które ładują i uruchamiają niezaufany kod (np. kod pochodzący z Internetu) i polegają na środowisku Java sandbox dla bezpieczeństwa. Ta luka nie ma zastosowania do wdrożeń języka Java, zazwyczaj na serwerach, które ładują i uruchamiają tylko zaufany kod.
Zostało to również potwierdzone w opisie alertu bezpieczeństwa wydawanego przez firmę Oracle pod adresem https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM DPA nie ładuje się ani nie zezwala na uruchamianie niezaufanego kodu. Poniżej przedstawiono więcej szczegółów na temat implementacji JVM DPA w odniesieniu do opisu CVE.
Java Sandbox — DPA korzysta z biblioteki Dell BSafe Crypto Library. Działa to w tym samym JVM, na którym działa serwer aplikacji DPA. Nie istnieje izolowane miejsce samo przez się nazywane jako Sandbox, w którym DPA utrzymuje „bezpieczeństwo kodu”. Pojawia się, gdy na JVM mógłby zostać uruchomiony niezaufany kod.
Niezaufany kod — jego zakres jest zwykle uwzględniany w przypadku pobierania i uruchamiania apletów Java w programie Java. W takich przypadkach pobrany element często jest postrzegany jako niezaufany kod, ponieważ nie jest znane źródło. W przypadku paradygmatu DPA instalacja i wdrożenie następuje na miejscu, uniemożliwiając pobranie i uruchomienie takiego kodu apletu w JVM serwera DPA.
Niezaufany kod — jego zakres jest zwykle uwzględniany w przypadku pobierania i uruchamiania apletów Java w programie Java. W takich przypadkach pobrany element często jest postrzegany jako niezaufany kod, ponieważ nie jest znane źródło. W przypadku paradygmatu DPA instalacja i wdrożenie następuje na miejscu, uniemożliwiając pobranie i uruchomienie takiego kodu apletu w JVM serwera DPA.
W związku z tym raportem o lukach w zabezpieczeniach DPA Engineering przeprowadził skanowanie bibliotek innych firm, analizę kodu źródłowego i testowanie zabezpieczeń aplikacji internetowych. Te skany i testy wykonane w odniesieniu do DPA wykazały, że takie ataki nie są możliwe.
解析度
Mimo że luka w zabezpieczeniach istnieje w Java 1.8u271, luka ta nie wpływa na DPA Java JVM.
Problem rozwiązano w oprogramowaniu Data Protection Advisor w wersji 19.5 i nowszych. DPA w wersji 19.5 lub nowszej jest dostarczane z oprogramowaniem Java 1.8u281 lub nowszym.
Aby uzyskać więcej informacji, skontaktuj się z działem pomocy technicznej firmy Dell.
Problem rozwiązano w oprogramowaniu Data Protection Advisor w wersji 19.5 i nowszych. DPA w wersji 19.5 lub nowszej jest dostarczane z oprogramowaniem Java 1.8u281 lub nowszym.
Aby uzyskać więcej informacji, skontaktuj się z działem pomocy technicznej firmy Dell.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。