Data Protection Advisor (DPA): Sicherheitsscans weisen darauf hin, dass Data Protection Advisor Java 1.8u271 verwendet, das bekannte Sicherheitslücken aufweist
摘要: Sicherheitsscans weisen darauf hin, dass Data Protection Advisor Java 1.8u271 verwendet, das Sicherheitslücken aufweist.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Der Sicherheitsscanner (Beispiel: Nessus) weist darauf hin, dass Data Protection Advisor (DPA) die Java-Version 1.8u271 (DPA 19.4 b36 und höher) verwendet, die bekannte Sicherheitslücken aufweist. Der Scan verweist auf die folgende Sicherheitslücke von Java 1.8 u271.
Weitere Informationen zu dieser Sicherheitslücke finden Sie in der National Vulnerability Database des NIST auf https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java-SE-Risikomatrix
Dieses wichtige Patch-Update enthält 1 neuen Sicherheitspatch für Oracle Java SE. Diese Sicherheitslücke kann remote ohne Authentifizierung ausgenutzt werden, d. h. sie kann über ein Netzwerk ausgenutzt werden, ohne dass Nutzeranmeldedaten erforderlich sind.
CVE-2020-14803 Java SE, Java SE Embedded Bibliotheken Mehrere Ja 5.3 Netzwerk Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Hinweise: Diese Sicherheitslücke betrifft Java-Bereitstellungen, die nicht vertrauenswürdigen Code laden und ausführen (z. B. Code, der aus dem Internet stammt) und sich für die Sicherheit auf die Java-Sandbox verlassen.
Dieses wichtige Patch-Update enthält 1 neuen Sicherheitspatch für Oracle Java SE. Diese Sicherheitslücke kann remote ohne Authentifizierung ausgenutzt werden, d. h. sie kann über ein Netzwerk ausgenutzt werden, ohne dass Nutzeranmeldedaten erforderlich sind.
CVE-2020-14803 Java SE, Java SE Embedded Bibliotheken Mehrere Ja 5.3 Netzwerk Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Hinweise: Diese Sicherheitslücke betrifft Java-Bereitstellungen, die nicht vertrauenswürdigen Code laden und ausführen (z. B. Code, der aus dem Internet stammt) und sich für die Sicherheit auf die Java-Sandbox verlassen.
Weitere Informationen zu dieser Sicherheitslücke finden Sie in der National Vulnerability Database des NIST auf https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
Obwohl die von DPA verwendete Java-Version 1.8u271 ist (ab DPA 19.4 b36), ist die Java-JVM von DPA nicht von dieser Sicherheitslücke betroffen. Siehe Folgendes:
Diese Sicherheitslücke betrifft Java-Webstart-Anwendungen und nicht DPA. Wie in der CVE-Beschreibung der National Vulnerability Database des NIST auf https://nvd.nist.gov/vuln/detail/CVE-2020-14803 angegeben:
Dies wird auch in der Sicherheitswarnmeldung von Oracle auf https://www.oracle.com/security-alerts/cpujan2021.html bestätigt.
Die Java-JVM von DPA lädt keinen nicht vertrauenswürdigen Code bzw. lässt dessen Ausführung nicht zu. Nachfolgend finden Sie genauere Details zur JVM-Implementierung von DPA hinsichtlich der CVE-Beschreibung.
DPA Engineering hat Scans an Drittanbieterbibliotheken, Quellcodeanalysen und Webanwendungs-Sicherheitstests rund um diese Sicherheitslücke durchgeführt. Diese Scans und Tests, die mit DPA durchgeführt werden, haben gezeigt, dass derartige Angriffe nicht möglich sind.
Diese Sicherheitslücke betrifft Java-Webstart-Anwendungen und nicht DPA. Wie in der CVE-Beschreibung der National Vulnerability Database des NIST auf https://nvd.nist.gov/vuln/detail/CVE-2020-14803 angegeben:
Diese Sicherheitslücke betrifft Java-Bereitstellungen, in der Regel auf Clients, auf denen Sandbox-Java-Webstart-Anwendungen oder Sandbox-Java-Applets ausgeführt werden, die nicht vertrauenswürdigen Code laden und ausführen (z. B. Code, der aus dem Internet stammt) und sich für die Sicherheit auf die Java-Sandbox verlassen. Diese Sicherheitslücke gilt nicht für Java-Bereitstellungen, in der Regel auf Servern, die nur vertrauenswürdigen Code laden und ausführen.
Dies wird auch in der Sicherheitswarnmeldung von Oracle auf https://www.oracle.com/security-alerts/cpujan2021.html bestätigt.
Die Java-JVM von DPA lädt keinen nicht vertrauenswürdigen Code bzw. lässt dessen Ausführung nicht zu. Nachfolgend finden Sie genauere Details zur JVM-Implementierung von DPA hinsichtlich der CVE-Beschreibung.
Java-Sandbox – DPA verwendet die Dell BSafe-Kryptobibliothek. Diese wird in derselben JVM ausgeführt, auf der der DPA-Anwendungsserver ausgeführt wird. Es gibt keinen separaten Speicherplatz in Form einer „Sandbox“, in dem DPA die „Codesicherheit“ aufrechterhält. Dies kommt ins Spiel, wenn nicht vertrauenswürdiger Code auf einer JVM ausgeführt werden könnte.
Nicht vertrauenswürdiger Code – Dies muss in der Regel berücksichtigt werden, wenn Java-Applets heruntergeladen und innerhalb eines Java-Programms ausgeführt werden. Da die Quelle in solchen Fällen nicht bekannt ist, wird das heruntergeladene Element oft als nicht vertrauenswürdiger Code angesehen. Bei DPA erfolgt die Installation und/oder Bereitstellung vor Ort, ohne dass die Möglichkeit besteht, einen solchen Applet-Code herunterzuladen und in der JVM des DPA-Servers auszuführen.
Nicht vertrauenswürdiger Code – Dies muss in der Regel berücksichtigt werden, wenn Java-Applets heruntergeladen und innerhalb eines Java-Programms ausgeführt werden. Da die Quelle in solchen Fällen nicht bekannt ist, wird das heruntergeladene Element oft als nicht vertrauenswürdiger Code angesehen. Bei DPA erfolgt die Installation und/oder Bereitstellung vor Ort, ohne dass die Möglichkeit besteht, einen solchen Applet-Code herunterzuladen und in der JVM des DPA-Servers auszuführen.
DPA Engineering hat Scans an Drittanbieterbibliotheken, Quellcodeanalysen und Webanwendungs-Sicherheitstests rund um diese Sicherheitslücke durchgeführt. Diese Scans und Tests, die mit DPA durchgeführt werden, haben gezeigt, dass derartige Angriffe nicht möglich sind.
解析度
Obwohl die Sicherheitslücke in Java 1.8u271 vorhanden ist, ist die Java-JVM von DPA nicht von dieser Sicherheitslücke betroffen.
Behoben in Data Protection Advisor 19.5 und höher. DPA 19.5 und höher wird mit Java 1.8u281 oder höher ausgeliefert.
Wenden Sie sich an den technischen Support von Dell, um weitere Details oder Informationen zu erhalten.
Behoben in Data Protection Advisor 19.5 und höher. DPA 19.5 und höher wird mit Java 1.8u281 oder höher ausgeliefert.
Wenden Sie sich an den technischen Support von Dell, um weitere Details oder Informationen zu erhalten.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。