Data Protection Advisor (DPA): Güvenlik taramaları, Data Protection Advisor'ın bilinen güvenlik açıkları olan Java 1.8u271 kullandığını gösteriyor
摘要: Güvenlik taramaları, Data Protection Advisor'ın güvenlik açıkları olan Java 1.8u271 kullandığını gösteriyor.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Güvenlik tarayıcısı (örnek: Nessus), Data Protection Advisor'ın (DPA) bilinen güvenlik açıkları olan Java sürümü 1.8u271 (DPA 19.4 b36 ve üzeri) kullandığını gösteriyor. Taramada Java 1.8 u271 için aşağıdaki güvenlik açığı gösteriliyor.
Bu güvenlik açığıyla ilgili daha fazla ayrıntıyı https://nvd.nist.gov/vuln/detail/CVE-2020-14803 adresinde NIST'nin Ulusal Güvenlik Açığı Veritabanı'nda bulabilirsiniz.
Oracle Java SE Risk Matrisi
Bu Kritik Yama Güncelleştirmesi, Oracle Java SE için 1 yeni güvenlik yaması içerir. Bu güvenlik açığından, kimlik doğrulaması olmadan uzaktan faydalanılabilir; diğer bir ifadeyle kullanıcı kimlik bilgileri gerekmeden ağ üzerinden kullanılabilir.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notlar: Bu güvenlik açığı, güvenilir olmayan kodu (ör. İnternetten gelen kodlar) yükleyip çalıştıran ve güvenlik için Java korumalı alanı kullanan Java dağıtımları için geçerlidir.
Bu Kritik Yama Güncelleştirmesi, Oracle Java SE için 1 yeni güvenlik yaması içerir. Bu güvenlik açığından, kimlik doğrulaması olmadan uzaktan faydalanılabilir; diğer bir ifadeyle kullanıcı kimlik bilgileri gerekmeden ağ üzerinden kullanılabilir.
CVE-2020-14803 Java SE, Java SE Embedded Libraries Multiple Yes 5.3 Network Low None None Un-changed Low None None Java SE: 7u281, 8u271; Java SE Embedded: 8u271
Notlar: Bu güvenlik açığı, güvenilir olmayan kodu (ör. İnternetten gelen kodlar) yükleyip çalıştıran ve güvenlik için Java korumalı alanı kullanan Java dağıtımları için geçerlidir.
Bu güvenlik açığıyla ilgili daha fazla ayrıntıyı https://nvd.nist.gov/vuln/detail/CVE-2020-14803 adresinde NIST'nin Ulusal Güvenlik Açığı Veritabanı'nda bulabilirsiniz.
原因
DPA tarafından kullanılan Java sürümü 1.8 u271'dir (DPA 19.4 b36 olarak) ancak DPA Java JVM'si bu güvenlik açığından etkilenmez. Aşağıdakilere bakın:
Bu güvenlik açığı; DPA için değil, Java Webstart uygulamaları için geçerlidir. https://nvd.nist.gov/vuln/detail/CVE-2020-14803 adresindeki NIST Ulusal Güvenlik Açığı Veritabanı'nın CVE açıklamasında belirtildiği üzere aşağıdaki gibi açıklanır:
Bu, Oracle tarafından https://www.oracle.com/security-alerts/cpujan2021.html adresinde yayınlanan güvenlik uyarısı açıklamasında da doğrulanmıştır.
DPA'nın Java JVM'si, güvenilir olmayan kodu yüklemez veya kodun çalıştırılmasına izin vermez. CVE açıklamasına ilişkin olarak DPA'nın JVM uygulamasıyla ilgili daha ayrıntılı bilgileri burada bulabilirsiniz.
DPA Mühendislik ekibi, bu güvenlik açığı raporuyla ilgili üçüncü Taraf Kitaplık taramaları, Kaynak Kodu Analizi ve Web Uygulaması Güvenlik Testi gerçekleştirmiştir. DPA'da gerçekleştirilen bu taramalar ve testler, bu tür saldırıların mümkün olmadığını göstermiştir.
Bu güvenlik açığı; DPA için değil, Java Webstart uygulamaları için geçerlidir. https://nvd.nist.gov/vuln/detail/CVE-2020-14803 adresindeki NIST Ulusal Güvenlik Açığı Veritabanı'nın CVE açıklamasında belirtildiği üzere aşağıdaki gibi açıklanır:
Bu güvenlik açığı, genellikle korumalı Java Web Başlangıç uygulamaları veya korumalı Java uygulamaları çalıştıran istemcilerde, güvenilir olmayan kodu (ör. İnternetten gelen kodlar) yükleyen ve çalıştıran ve güvenlik için Java korumalı alanı kullanan Java dağıtımları için geçerlidir. Bu güvenlik açığı, genellikle sunucularda olmak üzere yalnızca güvenilir kodu yükleyen ve çalıştıran Java dağıtımları için geçerli değildir.
Bu, Oracle tarafından https://www.oracle.com/security-alerts/cpujan2021.html adresinde yayınlanan güvenlik uyarısı açıklamasında da doğrulanmıştır.
DPA'nın Java JVM'si, güvenilir olmayan kodu yüklemez veya kodun çalıştırılmasına izin vermez. CVE açıklamasına ilişkin olarak DPA'nın JVM uygulamasıyla ilgili daha ayrıntılı bilgileri burada bulabilirsiniz.
Java Korumalı Alanı - DPA, Dell BSafe şifreleme kitaplığını kullanır. Bu, DPA uygulama sunucusunun çalıştırıldığı aynı JVM'de çalışır. DPA'nın "kod güvenliğini" koruduğu Korumalı Alan olarak adlandırılan kendi başına ayrı bir alan yoktur. Korumalı alan, JVM'de güvenilir olmayan bir kodun çalıştırılma olasılığı olduğunda devreye girer.
Güvenilir Olmayan Kod: Bu durumun kapsamı genellikle Java Uygulamaları indirildiğinde ve bir Java Programı içinde çalıştırıldığında anlaşılır. Bu gibi durumlarda kaynak bilinmediğinden indirilen bileşen genellikle güvenilir olmayan kod olarak görülür. DPA'nın paradigmasında, DPA sunucusunun JVM'sinde indirilen ve çalıştırılan bu tür uygulama koduna sahip olma seçeneği engellenerek kurulum ve/veya dağıtım yerinde gerçekleşir.
Güvenilir Olmayan Kod: Bu durumun kapsamı genellikle Java Uygulamaları indirildiğinde ve bir Java Programı içinde çalıştırıldığında anlaşılır. Bu gibi durumlarda kaynak bilinmediğinden indirilen bileşen genellikle güvenilir olmayan kod olarak görülür. DPA'nın paradigmasında, DPA sunucusunun JVM'sinde indirilen ve çalıştırılan bu tür uygulama koduna sahip olma seçeneği engellenerek kurulum ve/veya dağıtım yerinde gerçekleşir.
DPA Mühendislik ekibi, bu güvenlik açığı raporuyla ilgili üçüncü Taraf Kitaplık taramaları, Kaynak Kodu Analizi ve Web Uygulaması Güvenlik Testi gerçekleştirmiştir. DPA'da gerçekleştirilen bu taramalar ve testler, bu tür saldırıların mümkün olmadığını göstermiştir.
解析度
Java 1.8u271'de güvenlik açığı bulunsa da DPA Java JVM'si bu güvenlik açığından etkilenmez.
Data Protection Advisor 19.5 ve sonraki sürümlerde çözüldü. DPA 19.5 ve sonraki sürümler, Java 1.8u281 veya sonraki sürümlerle birlikte gelir.
Daha fazla ayrıntı veya bilgi için Dell Teknik Destek ile iletişime geçin.
Data Protection Advisor 19.5 ve sonraki sürümlerde çözüldü. DPA 19.5 ve sonraki sürümler, Java 1.8u281 veya sonraki sürümlerle birlikte gelir.
Daha fazla ayrıntı veya bilgi için Dell Teknik Destek ile iletişime geçin.
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。