Data Protection Advisor (DPA): Säkerhetsgenomsökningar visar att Data Protection Advisor använder Java 1.8u271 som har känt till sårbarheter
摘要: Säkerhetsgenomsökningar visar att Data Protection Advisor använder Java 1.8u271 som har säkerhetsproblem.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Säkerhetsgenomsökning (exempel: Nessus) indikerar att Data Protection Advisor (DPA) använder Java-version 1.8u271 (DPA 19.4 b36 och senare) som har kända säkerhetsproblem. Genomsökningen hänvisar till nedanstående säkerhetsproblem för Java 1.8 u271.
Mer information om det här säkerhetsproblemet finns i NIST:s nationella sårbarhetsdatabas på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Riskmatris för Oracle Java SE
Den här viktiga korrigeringsuppdateringen innehåller en ny säkerhetskorrigering för Oracle Java SE. Det här säkerhetsproblemet kan utnyttjas via fjärranslutning utan autentisering, vilket innebär att det kan utnyttjas över ett nätverk utan att det krävs användaruppgifter.
CVE-2020-14803 Java SE, inbäddade Java SE-bibliotek med flera Yes 5.3 Network Low None Av-changed Low None Java SE: 7u281, 8u271; Inbäddad Java SE: Anmärkningar för 8u271:
Det här säkerhetsproblemet gäller Java-distributioner som laddar och kör icke-betrodd kod (t.ex. kod som kommer från internet) och förlitar sig på Java sandbox för säkerhet.
Den här viktiga korrigeringsuppdateringen innehåller en ny säkerhetskorrigering för Oracle Java SE. Det här säkerhetsproblemet kan utnyttjas via fjärranslutning utan autentisering, vilket innebär att det kan utnyttjas över ett nätverk utan att det krävs användaruppgifter.
CVE-2020-14803 Java SE, inbäddade Java SE-bibliotek med flera Yes 5.3 Network Low None Av-changed Low None Java SE: 7u281, 8u271; Inbäddad Java SE: Anmärkningar för 8u271:
Det här säkerhetsproblemet gäller Java-distributioner som laddar och kör icke-betrodd kod (t.ex. kod som kommer från internet) och förlitar sig på Java sandbox för säkerhet.
Mer information om det här säkerhetsproblemet finns i NIST:s nationella sårbarhetsdatabas på https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
Den Java-version som används av DPA är 1.8 u271 (från och med DPA 19.4 b36), men DPA Java JVM påverkas inte av det här säkerhetsproblemet. Se följande:
Det här säkerhetsproblemet gäller för Java Webstart-program och inte DPA. Som nämnts i CVE-beskrivningen från NIST:s nationella sårbarhetsdatabas på https://nvd.nist.gov/vuln/detail/CVE-2020-14803står det enligt nedan:
Det här bekräftas även i säkerhetsvarningsbeskrivningen som utfärdas av Oracle i https://www.oracle.com/security-alerts/cpujan2021.html.
DPA:s Java JVM läses inte in eller tillåter körning av ej betrodd kod. Här är mer specifika detaljer om DPA:s JVM-implementering med avseende på CVE-beskrivningen.
DPA-teknikerna har utfört genomsökningar av tredjepartsbibliotek, källkodsanalys och webbprogramssäkerhetstestning runt den här säkerhetsproblemsrapporten. Dessa genomsökningar och tester som utförs mot DPA har visat att sådana attacker inte är möjliga.
Det här säkerhetsproblemet gäller för Java Webstart-program och inte DPA. Som nämnts i CVE-beskrivningen från NIST:s nationella sårbarhetsdatabas på https://nvd.nist.gov/vuln/detail/CVE-2020-14803står det enligt nedan:
Det här säkerhetsproblemet gäller Java-distributioner, vanligtvis på klienter som kör sandboxed Java Web Start-program eller sandboxade Java-appletar, som läser in och kör icke-betrodd kod (t.ex. kod som kommer från internet) och förlitar sig på Java sandbox för säkerhet. Det här säkerhetsproblemet gäller inte Java-distributioner, vanligtvis på servrar, som läser in och kör endast betrodd kod.
Det här bekräftas även i säkerhetsvarningsbeskrivningen som utfärdas av Oracle i https://www.oracle.com/security-alerts/cpujan2021.html.
DPA:s Java JVM läses inte in eller tillåter körning av ej betrodd kod. Här är mer specifika detaljer om DPA:s JVM-implementering med avseende på CVE-beskrivningen.
Java Sandbox – DPA använder krypteringsbiblioteket Dell BSafe. Det här körs på samma JVM-server där DPA-programservern körs. Det finns inget avstängt utrymme självt, kallat Sandbox, där DPA upprätthåller kodsäkerhet. Det spelar in när en icke-betrodd kod kan köras på en JVM.
Icke-betrodd kod – omfattningen av detta beaktas vanligtvis när Java-appletar hämtas och körs i ett Java-program. I sådana fall, eftersom källan inte är känd, den nedladdade komponenten som ofta ses som icke-betrodd kod. I DPA:s paradigm inträffar installationen och distributionen på plats, eftersom det inte finns någon sådan appletkod som laddas ner och körs i DPA-serverns JVM.
Icke-betrodd kod – omfattningen av detta beaktas vanligtvis när Java-appletar hämtas och körs i ett Java-program. I sådana fall, eftersom källan inte är känd, den nedladdade komponenten som ofta ses som icke-betrodd kod. I DPA:s paradigm inträffar installationen och distributionen på plats, eftersom det inte finns någon sådan appletkod som laddas ner och körs i DPA-serverns JVM.
DPA-teknikerna har utfört genomsökningar av tredjepartsbibliotek, källkodsanalys och webbprogramssäkerhetstestning runt den här säkerhetsproblemsrapporten. Dessa genomsökningar och tester som utförs mot DPA har visat att sådana attacker inte är möjliga.
解析度
Även om säkerhetsproblemet finns i Java 1.8u271 påverkas INTE DPA Java JVM av det här säkerhetsproblemet.
Har lösts i Data Protection Advisor 19.5 och senare. DPA 19.5 och senare levereras med Java 1.8u281 eller senare.
Kontakta Dells tekniska support om du vill ha mer information.
Har lösts i Data Protection Advisor 19.5 och senare. DPA 19.5 och senare levereras med Java 1.8u281 eller senare.
Kontakta Dells tekniska support om du vill ha mer information.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。