Data Protection Advisor (DPA): Сканирование безопасности указывает на то, что Data Protection Advisor использует Java 1.8u271 с известными уязвимостями
摘要: Сканирование безопасности указывает на то, что Data Protection Advisor использует Java 1.8u271 с уязвимостями.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Сканер системы безопасности (пример: Nessus) указывает на то, что Data Protection Advisor (DPA) использует Java версии 1.8u271 (DPA 19.4 b36 и более поздней версии) с известными уязвимостями. Сканирование ссылается на указанную ниже уязвимость для Java 1.8 u271.
Дополнительные сведения об этой уязвимости см. в национальной базе данных уязвимостей NIST по адресу https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Матрица рисков Oracle Java SE
Это критически важное обновление исправлений содержит 1 новое исправление безопасности для Oracle Java SE. Эту уязвимость можно использовать удаленно без проверки подлинности, то есть ее можно использовать по сети без необходимости ввода учетных данных пользователя.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Примечания. Эта уязвимость, как правило, применяется к развертываниям Java, которые загружают и запускают ненадежный код (например код из Интернета), а также используют песочницу Java для обеспечения безопасности.
Это критически важное обновление исправлений содержит 1 новое исправление безопасности для Oracle Java SE. Эту уязвимость можно использовать удаленно без проверки подлинности, то есть ее можно использовать по сети без необходимости ввода учетных данных пользователя.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Примечания. Эта уязвимость, как правило, применяется к развертываниям Java, которые загружают и запускают ненадежный код (например код из Интернета), а также используют песочницу Java для обеспечения безопасности.
Дополнительные сведения об этой уязвимости см. в национальной базе данных уязвимостей NIST по адресу https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
Хотя DPA использует версию Java 1.8 u271 (начиная с DPA 19.4 b36), DPA Java JVM не подвержена этой уязвимости. См. далее.
Эта уязвимость применима к приложениям Java Web Start, а не к DPA. Описание CVE национальной базы данных уязвимостей NIST по адресу https://nvd.nist.gov/vuln/detail/CVE-2020-14803 гласит следующее.
Это также подтверждается описанием оповещения безопасности, выпущенным компанией Oracle по адресу https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM DPA не загружает и не допускает запуск ненадежного кода. Ниже приведены более подробные сведения о внедрении JVM DPA с учетом описания CVE.
В рамках этого отчета об уязвимостях технический отдел DPA выполнил сканирование сторонних библиотек, анализ исходного кода и тестирование безопасности веб-приложений. Эти проверки и тесты, выполняемые в отношении DPA, показали, что такие атаки невозможны.
Эта уязвимость применима к приложениям Java Web Start, а не к DPA. Описание CVE национальной базы данных уязвимостей NIST по адресу https://nvd.nist.gov/vuln/detail/CVE-2020-14803 гласит следующее.
Эта уязвимость, как правило, применяется к развертываниям Java на клиентах, работающих с изолированными приложениями Java Web Start или апплетами Java, которые загружают и запускают ненадежный код (например код из Интернета) и используют песочницу Java для обеспечения безопасности. Эта уязвимость, как правило, не применима к развертываниям Java на серверах, которые загружают и запускают только надежный код.
Это также подтверждается описанием оповещения безопасности, выпущенным компанией Oracle по адресу https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM DPA не загружает и не допускает запуск ненадежного кода. Ниже приведены более подробные сведения о внедрении JVM DPA с учетом описания CVE.
Песочница Java — DPA использует библиотеку шифрования Dell BSafe. Она работает на той же JVM, на которой работает сервер приложений DPA. Хотя DPA использует версию Java 1.8 u271 (начиная с DPA 19.4 b36), DPA Java JVM не подвержена этой уязвимости. Он начинает работать, когда на JVM может быть запущен ненадежный код.
Ненадежный код — область действия обычно рассматривается при скачивании и запуске апплетов Java в программе Java. В таких случаях, так как источник неизвестен, скачанный фрагмент часто рассматривается как ненадежный код. В соответствии с парадигмой DPA установка и/или развертывание происходит на месте, что позволяет исключить возможность скачивания и запуска любого кода апплета в JVM сервера DPA.
Ненадежный код — область действия обычно рассматривается при скачивании и запуске апплетов Java в программе Java. В таких случаях, так как источник неизвестен, скачанный фрагмент часто рассматривается как ненадежный код. В соответствии с парадигмой DPA установка и/или развертывание происходит на месте, что позволяет исключить возможность скачивания и запуска любого кода апплета в JVM сервера DPA.
В рамках этого отчета об уязвимостях технический отдел DPA выполнил сканирование сторонних библиотек, анализ исходного кода и тестирование безопасности веб-приложений. Эти проверки и тесты, выполняемые в отношении DPA, показали, что такие атаки невозможны.
解析度
Хотя эта уязвимость существует в Java 1.8u271, DPA Java JVM не подвержена этой уязвимости.
Устранена в Data Protection Advisor 19.5 и более поздних версиях. DPA 19.5 и более поздние версии поставляются с Java 1.8u281 или более поздней версии.
Для получения более подробной информации обратитесь в службу технической поддержки Dell.
Устранена в Data Protection Advisor 19.5 и более поздних версиях. DPA 19.5 и более поздние версии поставляются с Java 1.8u281 или более поздней версии.
Для получения более подробной информации обратитесь в службу технической поддержки Dell.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。