Data Protection Advisor (DPA): Le scansioni di sicurezza indicano che Data Protection Advisor utilizza Java 1.8u271, che ha vulnerabilità
摘要: Le scansioni di sicurezza indicano che Data Protection Advisor utilizza Java 1.8u271 con vulnerabilità.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Scanner di sicurezza (ad esempio: Nessus) indica che Data Protection Advisor (DPA) utilizza Java versione 1.8u271 (DPA 19.4 b36 e versioni successive) con vulnerabilità note. La scansione fa riferimento alla vulnerabilità riportata di seguito per Java 1.8 u271.
Ulteriori dettagli su questa vulnerabilità sono disponibili nel database nazionale delle vulnerabilità del NIST all'indirizzo https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Matrice dei rischi per Oracle Java SE
Questo aggiornamento della patch critica contiene 1 nuova patch di sicurezza per Oracle Java SE. Questa vulnerabilità è sfruttabile in remoto senza autenticazione, ovvero può essere sfruttata su una rete senza richiedere le credenziali dell'utente.
CVE-2020-14803 Java SE, Librerie integrate Java SE Più Sì 5.3 Rete bassa Nessuna Java SE non modificata Nessuna Java non modificata: 7u281, 8u271; Java SE Embedded: Note 8u271:
Questa vulnerabilità si applica alle implementazioni Java che caricano ed eseguono codice non attendibile (ad esempio, il codice proveniente da Internet) e si basano su Java Sandbox per la sicurezza.
Questo aggiornamento della patch critica contiene 1 nuova patch di sicurezza per Oracle Java SE. Questa vulnerabilità è sfruttabile in remoto senza autenticazione, ovvero può essere sfruttata su una rete senza richiedere le credenziali dell'utente.
CVE-2020-14803 Java SE, Librerie integrate Java SE Più Sì 5.3 Rete bassa Nessuna Java SE non modificata Nessuna Java non modificata: 7u281, 8u271; Java SE Embedded: Note 8u271:
Questa vulnerabilità si applica alle implementazioni Java che caricano ed eseguono codice non attendibile (ad esempio, il codice proveniente da Internet) e si basano su Java Sandbox per la sicurezza.
Ulteriori dettagli su questa vulnerabilità sono disponibili nel database nazionale delle vulnerabilità del NIST all'indirizzo https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
Sebbene la versione di Java utilizzata da DPA sia 1.8 u271 (a partire da DPA 19.4 b36), la JVM Java DPA non è interessata da questa vulnerabilità. Vedere i seguenti argomenti:
Questa vulnerabilità è applicabile alle applicazioni Java WebStart e non a DPA. Come indicato nella descrizione CVE del database NIST National Vulnerability in https://nvd.nist.gov/vuln/detail/CVE-2020-14803, si legge come segue:
Ciò è confermato anche nella descrizione degli alert di sicurezza emessa da Oracle al https://www.oracle.com/security-alerts/cpujan2021.html.
La JVM Java di DPA non viene caricata o consente l'esecuzione di codice non attendibile. Di seguito sono riportati dettagli più specifici sull'implementazione JVM di DPA in relazione alla descrizione CVE.
DPA Engineering ha eseguito scansioni di librerie di terze parti, analisi del codice sorgente e test di sicurezza delle applicazioni web per questo report sulle vulnerabilità. Queste scansioni e test eseguiti contro DPA hanno dimostrato che tali attacchi non sono possibili.
Questa vulnerabilità è applicabile alle applicazioni Java WebStart e non a DPA. Come indicato nella descrizione CVE del database NIST National Vulnerability in https://nvd.nist.gov/vuln/detail/CVE-2020-14803, si legge come segue:
Questa vulnerabilità si applica alle implementazioni Java, in genere nei client che eseguono applicazioni Java Web Start in modalità sandbox o applet Java in sandbox, che caricano ed eseguono codice non attendibile (ad esempio, il codice proveniente da Internet) e si basano su Java sandbox per la sicurezza. Questa vulnerabilità non si applica alle implementazioni Java, in genere nei server, che caricano ed eseguono solo codice attendibile.
Ciò è confermato anche nella descrizione degli alert di sicurezza emessa da Oracle al https://www.oracle.com/security-alerts/cpujan2021.html.
La JVM Java di DPA non viene caricata o consente l'esecuzione di codice non attendibile. Di seguito sono riportati dettagli più specifici sull'implementazione JVM di DPA in relazione alla descrizione CVE.
Java Sandbox: DPA utilizza la libreria di crittografia Dell BSafe. Viene eseguito nello stesso JVM su cui viene eseguito l'application server DPA. Non esiste alcuno spazio isolato da solo chiamato Sandbox in cui DPA mantiene la "sicurezza del codice". Viene messa in gioco quando un codice non attendibile può essere eseguito su una JVM.
Codice non attendibile: l'ambito di questo aspetto viene in genere preso in considerazione quando le applet Java vengono scaricate ed eseguite all'interno di un programma Java. In questi casi, poiché l'origine non è nota, il componente scaricato viene spesso visto come codice non attendibile. Nel paradigma DPA, l'installazione e/o il deployment avvengono on-site, salvo la possibilità di scaricare ed eseguire tale codice applet nel JVM del server DPA.
Codice non attendibile: l'ambito di questo aspetto viene in genere preso in considerazione quando le applet Java vengono scaricate ed eseguite all'interno di un programma Java. In questi casi, poiché l'origine non è nota, il componente scaricato viene spesso visto come codice non attendibile. Nel paradigma DPA, l'installazione e/o il deployment avvengono on-site, salvo la possibilità di scaricare ed eseguire tale codice applet nel JVM del server DPA.
DPA Engineering ha eseguito scansioni di librerie di terze parti, analisi del codice sorgente e test di sicurezza delle applicazioni web per questo report sulle vulnerabilità. Queste scansioni e test eseguiti contro DPA hanno dimostrato che tali attacchi non sono possibili.
解析度
Sebbene la vulnerabilità esista in Java 1.8u271, la JVM Java DPA non è interessata da questa vulnerabilità.
Risolto in Data Protection Advisor 19.5 e versioni successive. DPA 19.5 e versioni successive viene fornito con Java 1.8u281 o versione successiva.
Per ulteriori dettagli o informazioni, contattare il supporto tecnico Dell.
Risolto in Data Protection Advisor 19.5 e versioni successive. DPA 19.5 e versioni successive viene fornito con Java 1.8u281 o versione successiva.
Per ulteriori dettagli o informazioni, contattare il supporto tecnico Dell.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。