Data Protection Advisor (DPA): As verificações de segurança indicam que o Data Protection Advisor usa o Java 1.8u271, o qual apresenta vulnerabilidades conhecidas
摘要: As verificações de segurança indicam que o Data Protection Advisor usa o Java 1.8u271, o qual apresenta vulnerabilidades.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
A verificação de segurança (exemplo: Nessus) indica que o Data Protection Advisor (DPA) usa a versão 1.8u271 do Java (DPA 19.4 b36 ou posterior), a qual apresenta vulnerabilidades conhecidas. A verificação menciona a vulnerabilidade abaixo para o Java 1.8 u271.
Você pode encontrar mais detalhes dessa vulnerabilidade no banco de dados nacional de vulnerabilidades do NIST, em https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
Oracle Java SE Risk Matrix
This Critical Patch Update contains 1 new security patch for Oracle Java SE. This vulnerability is remotely exploitable without authentication, that is, may be exploited over a network without requiring user credentials.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notas: Essa vulnerabilidade se aplica a implementações Java que carregam e executam código não confiável (como código proveniente da Internet) e dependem da área restrita do Java para segurança.
This Critical Patch Update contains 1 new security patch for Oracle Java SE. This vulnerability is remotely exploitable without authentication, that is, may be exploited over a network without requiring user credentials.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notas: Essa vulnerabilidade se aplica a implementações Java que carregam e executam código não confiável (como código proveniente da Internet) e dependem da área restrita do Java para segurança.
Você pode encontrar mais detalhes dessa vulnerabilidade no banco de dados nacional de vulnerabilidades do NIST, em https://nvd.nist.gov/vuln/detail/CVE-2020-14803.
原因
Embora a versão do Java usada pelo DPA seja a 1.8 u271 (desde o DPA 19.4 b36), o JVM do DPA não é afetado por essa vulnerabilidade. Confira a seguir:
Essa vulnerabilidade é aplicável aos aplicativos Java Webstart e não ao DPA. No banco de dados nacional de vulnerabilidades do NIST, em https://nvd.nist.gov/vuln/detail/CVE-2020-14803, podemos observar a seguinte descrição de CVE:
Essas informações também são confirmadas na descrição do alerta de segurança emitido pela Oracle, em https://www.oracle.com/security-alerts/cpujan2021.html.
O JVM do DPA não faz o carregamento nem permite a execução de códigos não confiáveis. Veja a seguir os detalhes mais específicos sobre a implementação JVM do DPA com relação à descrição de CVE.
A equipe de engenharia do DPA realizou verificações de bibliotecas de terceiros, análises de códigos-fonte e testes de segurança de aplicativos da Web com base nesse relatório de vulnerabilidades. As verificações e os testes realizados no DPA mostraram que esses ataques não são possíveis.
Essa vulnerabilidade é aplicável aos aplicativos Java Webstart e não ao DPA. No banco de dados nacional de vulnerabilidades do NIST, em https://nvd.nist.gov/vuln/detail/CVE-2020-14803, podemos observar a seguinte descrição de CVE:
Essa vulnerabilidade se aplica a implementações Java, geralmente em clients executando aplicativos Java Web Start em área restrita ou miniaplicativos Java em área restrita, que carregam e executam código não confiável (como código proveniente da Internet) e dependem da área restrita do Java para segurança. Essa vulnerabilidade não se aplica a implementações Java, geralmente em servidores, que carregam e executam apenas códigos confiáveis.
Essas informações também são confirmadas na descrição do alerta de segurança emitido pela Oracle, em https://www.oracle.com/security-alerts/cpujan2021.html.
O JVM do DPA não faz o carregamento nem permite a execução de códigos não confiáveis. Veja a seguir os detalhes mais específicos sobre a implementação JVM do DPA com relação à descrição de CVE.
Área restrita do Java – O DPA usa a biblioteca de criptografia Dell BSafe. Ela é executada no mesmo JVM em que o servidor de aplicativos do DPA é executado. Não há espaço isolado por si só chamado de área restrita, onde o DPA mantém a "segurança de código". Ela entrará em ação quando um código plausível não confiável puder ser executado em um JVM.
Código não confiável – Esse escopo é levado em consideração normalmente quando miniaplicativos Java são baixados e executados dentro de um programa Java. Nesses casos, como a origem não é conhecida, a peça baixada geralmente é vista como código não confiável. No paradigma do DPA, a instalação e/ou implementação acontece no local, impedindo a opção de ter qualquer código de miniaplicativo que seja baixado e executado no JVM do servidor do DPA.
Código não confiável – Esse escopo é levado em consideração normalmente quando miniaplicativos Java são baixados e executados dentro de um programa Java. Nesses casos, como a origem não é conhecida, a peça baixada geralmente é vista como código não confiável. No paradigma do DPA, a instalação e/ou implementação acontece no local, impedindo a opção de ter qualquer código de miniaplicativo que seja baixado e executado no JVM do servidor do DPA.
A equipe de engenharia do DPA realizou verificações de bibliotecas de terceiros, análises de códigos-fonte e testes de segurança de aplicativos da Web com base nesse relatório de vulnerabilidades. As verificações e os testes realizados no DPA mostraram que esses ataques não são possíveis.
解析度
Embora exista uma vulnerabilidade no Java 1.8u271, o JVM do DPA não é afetado por ela.
Esse problema foi resolvido no Data Protection Advisor 19.5 e nas versões posteriores. O DPA a partir da versão 19.5 vem com o Java 1.8u281 ou posterior.
Entre em contato com o suporte técnico da Dell para obter mais detalhes ou informações.
Esse problema foi resolvido no Data Protection Advisor 19.5 e nas versões posteriores. O DPA a partir da versão 19.5 vem com o Java 1.8u281 ou posterior.
Entre em contato com o suporte técnico da Dell para obter mais detalhes ou informações.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。