Data Protection Advisor (DPA):安全扫描表明 Data Protection Advisor 使用具有已知漏洞的 Java 1.8u271
摘要: 安全扫描表明 Data Protection Advisor 使用具有漏洞的 Java 1.8u271。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
安全扫描程序(例如:Nessus)表明 Data Protection Advisor (DPA) 使用具有已知漏洞的 Java 版本 1.8u271(DPA 19.4 b36 及更高版本)。扫描引用 Java 1.8 u271 的以下漏洞。
可以在 NIST 的国家漏洞数据库中查看有关此漏洞的更多详细信息:https://nvd.nist.gov/vuln/detail/CVE-2020-14803。
Oracle Java SE 风险矩阵
此重要修补程序更新包含 1 个新的 Oracle Java SE 安全修补程序。此漏洞可在无需验证的情况下被远程利用,也就是说,可以在不需要用户凭据的情况下通过网络利用。
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
提醒:此漏洞适用于加载和运行不受信任的代码(例如来自互联网的代码)并依赖 Java 沙盒来实现安全性的 Java 部署。
此重要修补程序更新包含 1 个新的 Oracle Java SE 安全修补程序。此漏洞可在无需验证的情况下被远程利用,也就是说,可以在不需要用户凭据的情况下通过网络利用。
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
提醒:此漏洞适用于加载和运行不受信任的代码(例如来自互联网的代码)并依赖 Java 沙盒来实现安全性的 Java 部署。
可以在 NIST 的国家漏洞数据库中查看有关此漏洞的更多详细信息:https://nvd.nist.gov/vuln/detail/CVE-2020-14803。
原因
虽然 DPA 使用的 Java 版本为 1.8 u271(截至 DPA 19.4 b36),但 DPA Java JVM 不受此漏洞的影响。请查看以下内容:
此漏洞适用于 Java Webstart 应用程序,不适用于 DPA。在 NIST 国家漏洞数据库的 CVE 描述 (https://nvd.nist.gov/vuln/detail/CVE-2020-14803) 中,对其说明如下:
Oracle 发布的安全警报描述中也确认了这一点:https://www.oracle.com/security-alerts/cpujan2021.html。
DPA 的 Java JVM 不加载或允许运行不受信任的代码。以下是与 CVE 描述相关的 DPA 的 JVM 实施的更多具体详细信息。
DPA 工程部门围绕此漏洞报告执行了第三方库扫描、源代码分析和 Web 应用程序安全测试。针对 DPA 执行的这些扫描和测试表明,此类攻击是不可能的。
此漏洞适用于 Java Webstart 应用程序,不适用于 DPA。在 NIST 国家漏洞数据库的 CVE 描述 (https://nvd.nist.gov/vuln/detail/CVE-2020-14803) 中,对其说明如下:
此漏洞通常适用于运行沙盒 Java Web Start 应用程序或沙盒 Java 小程序的客户端中的 Java 部署,这些部署加载和运行不受信任的代码(例如来自互联网的代码),并依赖 Java 沙盒来实现安全性。此漏洞不适用于通常在服务器中加载和运行受信任代码的 Java 部署。
Oracle 发布的安全警报描述中也确认了这一点:https://www.oracle.com/security-alerts/cpujan2021.html。
DPA 的 Java JVM 不加载或允许运行不受信任的代码。以下是与 CVE 描述相关的 DPA 的 JVM 实施的更多具体详细信息。
Java 沙盒 — DPA 使用 Dell BSafe 加密库。它与 DPA 应用程序服务器在同一 JVM 中运行。没有本身称为“沙盒”并且 DPA 可以在其中维护“代码安全”的隔离空间。当不受信任的代码可以在 JVM 上运行时,它会发挥作用。
不受信任的代码 — 通常在 Java 程序内下载并运行 Java 小程序时,会考虑此范围。在这种情况下,由于来源未知,下载内容通常被视为不受信任的代码。在 DPA 的范例中,安装和/或部署会就地进行,阻止在 DPA 服务器的 JVM 中下载并运行任何此类小程序代码的选项。
不受信任的代码 — 通常在 Java 程序内下载并运行 Java 小程序时,会考虑此范围。在这种情况下,由于来源未知,下载内容通常被视为不受信任的代码。在 DPA 的范例中,安装和/或部署会就地进行,阻止在 DPA 服务器的 JVM 中下载并运行任何此类小程序代码的选项。
DPA 工程部门围绕此漏洞报告执行了第三方库扫描、源代码分析和 Web 应用程序安全测试。针对 DPA 执行的这些扫描和测试表明,此类攻击是不可能的。
解析度
虽然该漏洞存在于 Java 1.8u271 中,但 DPA Java JVM 不受此漏洞的影响。
此漏洞已在 Data Protection Advisor 19.5 及更高版本中得到解决。DPA 19.5 及更高版本随附 Java 1.8u281 或更高版本。
有关更多详情或信息,请联系戴尔技术支持。
此漏洞已在 Data Protection Advisor 19.5 及更高版本中得到解决。DPA 19.5 及更高版本随附 Java 1.8u281 或更高版本。
有关更多详情或信息,请联系戴尔技术支持。
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。