Data Protection Advisor (DPA): Los análisis de seguridad indican que Data Protection Advisor utiliza Java 1.8u271, el cual tiene vulnerabilidades conocidas
摘要: Los análisis de seguridad indican que Data Protection Advisor utiliza Java 1.8u271, el cual tiene vulnerabilidades.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Un escáner de seguridad (por ejemplo: Nessus) indica que Data Protection Advisor (DPA) utiliza Java versión 1.8u271 (DPA 19.4 b36 y superior), el cual tiene vulnerabilidades conocidas. El análisis hace referencia a la siguiente vulnerabilidad para Java 1.8 u271.
Encontrará más detalles sobre esta vulnerabilidad en la Base de datos nacional de vulnerabilidades de NIST en https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Matriz de riesgo de Oracle Java SE
Esta actualización de parche crítico contiene 1 nuevo parche de seguridad para Oracle Java SE. Esta vulnerabilidad se puede aprovechar de forma remota sin autenticación, es decir, se puede aprovechar a través de una red sin necesidad de credenciales de usuario.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notas: Esta vulnerabilidad se aplica a las implementaciones de Java que cargan y ejecutan código no confiable (por ejemplo, código que proviene de Internet) y dependen de Java Sandbox para fines de seguridad.
Esta actualización de parche crítico contiene 1 nuevo parche de seguridad para Oracle Java SE. Esta vulnerabilidad se puede aprovechar de forma remota sin autenticación, es decir, se puede aprovechar a través de una red sin necesidad de credenciales de usuario.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notas: Esta vulnerabilidad se aplica a las implementaciones de Java que cargan y ejecutan código no confiable (por ejemplo, código que proviene de Internet) y dependen de Java Sandbox para fines de seguridad.
Encontrará más detalles sobre esta vulnerabilidad en la Base de datos nacional de vulnerabilidades de NIST en https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
Aunque la versión de Java utilizada por DPA es 1.8 u271 (a partir de DPA 19.4 b36), Java JVM de DPA no se ve afectado por esta vulnerabilidad. Consulte lo siguiente:
Esta vulnerabilidad se aplica a las aplicaciones Java WebStart y no a DPA. Se indicó en la descripción de CVE de la Base de datos nacional de vulnerabilidades NIST en https://nvd.nist.gov/vuln/detail/CVE-2020-14803, en la cual se dice lo siguiente:
Esto también se confirma en la descripción de la alerta de seguridad emitida por Oracle en https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM de DPA no carga ni permite la ejecución de código no confiable. Estos son detalles más específicos sobre la implementación de JVM de DPA con respecto a la descripción de CVE.
El equipo de ingeniería de DPA realizó análisis de bibliotecas de otros fabricantes, análisis de código fuente y pruebas de seguridad de aplicaciones web en torno a este informe de vulnerabilidad. Estos análisis y pruebas que se realizan en DPA han demostrado que este tipo de ataques no son posibles.
Esta vulnerabilidad se aplica a las aplicaciones Java WebStart y no a DPA. Se indicó en la descripción de CVE de la Base de datos nacional de vulnerabilidades NIST en https://nvd.nist.gov/vuln/detail/CVE-2020-14803, en la cual se dice lo siguiente:
Esta vulnerabilidad se aplica a las implementaciones de Java dentro de, por lo general, clientes que ejecutan aplicaciones Java Web Start de sandbox o applets de Java de sandbox, que cargan y ejecutan código no confiable (por ejemplo, código que proviene de Internet) y dependen de Java Sandbox para fines de seguridad. Esta vulnerabilidad no se aplica a las implementaciones de Java dentro de, por lo general, servidores que cargan y ejecutan solo código de confianza.
Esto también se confirma en la descripción de la alerta de seguridad emitida por Oracle en https://www.oracle.com/security-alerts/cpujan2021.html.
Java JVM de DPA no carga ni permite la ejecución de código no confiable. Estos son detalles más específicos sobre la implementación de JVM de DPA con respecto a la descripción de CVE.
Java Sandbox: DPA utiliza la biblioteca criptográfica Dell BSafe. Esto se ejecuta en la misma JVM en la cual se ejecuta el servidor de aplicaciones de DPA. En si, no hay un espacio aislado denominado Sandbox, en el que DPA mantiene la “seguridad del código”. Entra en juego cuando hay posibilidades de que se ejecute código no confiable en JVM.
Código no confiable: el alcance de esto se considera generalmente cuando se descargan y ejecutan applets de Java dentro de un programa Java. En tales casos, dado que no se conoce el origen, el elemento descargado a menudo se considera código no confiable. En el paradigma de DPA, la instalación o implementación se produce de forma local, lo cual anula la opción de que algún cualquier código de applet se descargue y ejecute en el JVM del servidor de DPA.
Código no confiable: el alcance de esto se considera generalmente cuando se descargan y ejecutan applets de Java dentro de un programa Java. En tales casos, dado que no se conoce el origen, el elemento descargado a menudo se considera código no confiable. En el paradigma de DPA, la instalación o implementación se produce de forma local, lo cual anula la opción de que algún cualquier código de applet se descargue y ejecute en el JVM del servidor de DPA.
El equipo de ingeniería de DPA realizó análisis de bibliotecas de otros fabricantes, análisis de código fuente y pruebas de seguridad de aplicaciones web en torno a este informe de vulnerabilidad. Estos análisis y pruebas que se realizan en DPA han demostrado que este tipo de ataques no son posibles.
解析度
Aunque la vulnerabilidad existe en Java 1.8u271, Java JVM de DPA no se ve afectada por esta vulnerabilidad.
Resuelto en Data Protection Advisor 19.5 y versiones posteriores. DPA 19.5 y versiones posteriores se envían con Java 1.8u281 o versiones posteriores.
Comuníquese con el equipo de soporte técnico de Dell para obtener más detalles o información.
Resuelto en Data Protection Advisor 19.5 y versiones posteriores. DPA 19.5 y versiones posteriores se envían con Java 1.8u281 o versiones posteriores.
Comuníquese con el equipo de soporte técnico de Dell para obtener más detalles o información.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。