DPA (Data Protection Advisor): Suojaustarkistusten mukaan Data Protection Advisor käyttää Java 1.8u271 -versiota, joka sisältää tunnettuja haavoittuvuuksia
摘要: Suojaustarkistusten mukaan Data Protection Advisor käyttää Java 1.8u271 -versiota, joka sisältää haavoittuvuuksia.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Suojaustarkistus (esimerkki: Nessus) ilmoittaa, että Data Protection Advisor (DPA) käyttää Java 1.8u271 -versiota (DPA 19.4 b36 ja uudemmat), joka sisältää tunnettuja haavoittuvuuksia. Tarkistus viittaa seuraavaan haavoittuvuuteen Java 1.8 u271 -versiossa.
Lisätietoja tästä haavoittuvuudesta on NIST:n NVD:ssä (National Vulnerability Database) osoitteessa https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE Risk Matrix
This Critical Patch Update contains 1 new security patch for Oracle Java SE. This vulnerability is remotely exploitable without authentication, that is, may be exploited over a network without requiring user credentials.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notes: This vulnerability applies to Java deployments that load and run untrusted code (such as, code that comes from the Internet) and rely on the Java sandbox for security.
This Critical Patch Update contains 1 new security patch for Oracle Java SE. This vulnerability is remotely exploitable without authentication, that is, may be exploited over a network without requiring user credentials.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notes: This vulnerability applies to Java deployments that load and run untrusted code (such as, code that comes from the Internet) and rely on the Java sandbox for security.
Lisätietoja tästä haavoittuvuudesta on NIST:n NVD:ssä (National Vulnerability Database) osoitteessa https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
DPA:n käyttämä Java-versio on 1.8 u271 (DPA 19.4 b36 -versiosta alkaen), mutta tämä haavoittuvuus ei vaikuta DPA:n Java JVM:ään. Katso seuraavia:
Tämä haavoittuvuus koskee Java Webstart -sovelluksia, ei DPA:ta. Kuten CVE-kuvauksessa NIST:n NVD:ssä (National Vulnerability Database) osoitteessa https://nvd.nist.gov/vuln/detail/CVE-2020-14803 kerrotaan:
Tämä on vahvistettu myös Oraclen antamassa suojausvaroituksen kuvauksessa osoitteessa https://www.oracle.com/security-alerts/cpujan2021.html.
DPA:n Java JVM ei lataa eikä salli epäluotettavan koodin suorittamista. Tässä on tarkempia tietoja DPA:n JVM-toteutuksessa suhteessa CVE-kuvaukseen.
DPA Engineering on tehnyt kolmannen osapuolen kirjastojen tarkistuksen, lähdekoodianalyysin ja verkkosovelluksen suojaustestauksen tämän haavoittuvuusraportin vuoksi. Näissä DPA:n tarkistuksissa ja testeissä on havaittu, että tämänkaltaiset hyökkäykset eivät ole mahdollisia.
Tämä haavoittuvuus koskee Java Webstart -sovelluksia, ei DPA:ta. Kuten CVE-kuvauksessa NIST:n NVD:ssä (National Vulnerability Database) osoitteessa https://nvd.nist.gov/vuln/detail/CVE-2020-14803 kerrotaan:
This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (such as, code that comes from the Internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code.
Tämä on vahvistettu myös Oraclen antamassa suojausvaroituksen kuvauksessa osoitteessa https://www.oracle.com/security-alerts/cpujan2021.html.
DPA:n Java JVM ei lataa eikä salli epäluotettavan koodin suorittamista. Tässä on tarkempia tietoja DPA:n JVM-toteutuksessa suhteessa CVE-kuvaukseen.
Java Sandbox - DPA uses the Dell BSafe crypto library. This runs in the same JVM where DPA application server runs on. There is no secluded space by itself called as Sandbox wherein DPA maintains 'code security'. It comes into play when plausible untrusted code could run on a JVM.
Untrusted Code - Scope of this comes into consideration typically when Java Applets are downloaded and run inside a Java Program. In such cases, since the source is not known, the downloaded piece that is often seen as untrusted code. In DPA's paradigm, the installation and or deployment happens on-site barring the option of having any such applet code that is downloaded and run in DPA server's JVM.
Untrusted Code - Scope of this comes into consideration typically when Java Applets are downloaded and run inside a Java Program. In such cases, since the source is not known, the downloaded piece that is often seen as untrusted code. In DPA's paradigm, the installation and or deployment happens on-site barring the option of having any such applet code that is downloaded and run in DPA server's JVM.
DPA Engineering on tehnyt kolmannen osapuolen kirjastojen tarkistuksen, lähdekoodianalyysin ja verkkosovelluksen suojaustestauksen tämän haavoittuvuusraportin vuoksi. Näissä DPA:n tarkistuksissa ja testeissä on havaittu, että tämänkaltaiset hyökkäykset eivät ole mahdollisia.
解析度
Vaikka haavoittuvuus on Java 1.8u271 -versiossa, se ei vaikuta DPA:n Java JVM:ään.
Ratkaistu Data Protection Advisor 19.5:ssä ja uudemmissa. DPA 19.5:ssä ja uudemmissa on toimitettaessa Java 1.8u281 tai uudempi.
Voit kysyä lisätietoja Dellin tekniseltä tuelta.
Ratkaistu Data Protection Advisor 19.5:ssä ja uudemmissa. DPA 19.5:ssä ja uudemmissa on toimitettaessa Java 1.8u281 tai uudempi.
Voit kysyä lisätietoja Dellin tekniseltä tuelta.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。