Data Protection Advisor (DPA):安全性掃描顯示 Data Protection Advisor 使用具有已知漏洞的 Java 1.8u271
摘要: 安全性掃描顯示 Data Protection Advisor 使用具有漏洞的 Java 1.8u271。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
安全性掃描器 (例如:Nessus) 指出 Data Protection Advisor (DPA) 使用具有已知漏洞的 Java 版本 1.8u271 (DPA 19.4 b36 及更新版本)。掃描會參考 Java 1.8 u271 的以下漏洞。
有關此漏洞的進一步詳細資料,請參閱 NIST 的國家漏洞資料庫:https://nvd.nist.gov/vuln/detail/CVE-2020-14803。
Oracle Java SE 風險矩陣
此重要修補程式更新包含 1 個 Oracle Java SE 新的安全性修補程式。此漏洞可在沒有驗證下遠端利用,亦即可能透過網路遭到利用,而不需要使用者認證。
CVE-2020-14803 Java SE,Java SE Embedded 程式庫 多個 是 5.3 網路 低 無 無 未變更 低 無 無 Java SE:7u281、8u271;Java SE Embedded:8u271
注意:此漏洞適用於 Java 部署,這些部署會載入和執行不受信任的程式碼 (例如來自網際網路的程式碼),並仰賴 Java 沙箱來取得安全性。
此重要修補程式更新包含 1 個 Oracle Java SE 新的安全性修補程式。此漏洞可在沒有驗證下遠端利用,亦即可能透過網路遭到利用,而不需要使用者認證。
CVE-2020-14803 Java SE,Java SE Embedded 程式庫 多個 是 5.3 網路 低 無 無 未變更 低 無 無 Java SE:7u281、8u271;Java SE Embedded:8u271
注意:此漏洞適用於 Java 部署,這些部署會載入和執行不受信任的程式碼 (例如來自網際網路的程式碼),並仰賴 Java 沙箱來取得安全性。
有關此漏洞的進一步詳細資料,請參閱 NIST 的國家漏洞資料庫:https://nvd.nist.gov/vuln/detail/CVE-2020-14803。
原因
雖然 DPA 使用的 Java 版本為 1.8 u271 (自 DPA 19.4 b36 起),但 DPA Java JVM 並不受此漏洞影響。請參閱下列內容:
此漏洞適用於 Java Web Start 應用程式,而非 DPA。如 NIST 國家漏洞資料庫於 https://nvd.nist.gov/vuln/detail/CVE-2020-14803 的 CVE 說明所述,說明如下:
Oracle 在 https://www.oracle.com/security-alerts/cpujan2021.html 發出的安全性警示說明中也已確認此問題。
DPA 的 Java JVM 不會載入或允許執行不受信任的程式碼。以下是有關 CVE 說明的 DPA JVM 實作更多特定的詳細資料。
DPA 工程部門已為此漏洞報告執行了第三方程式庫掃描、原始碼分析和 Web 應用程式安全性測試。這些針對 DPA 執行的掃描和測試顯示此類攻擊不可能發生。
此漏洞適用於 Java Web Start 應用程式,而非 DPA。如 NIST 國家漏洞資料庫於 https://nvd.nist.gov/vuln/detail/CVE-2020-14803 的 CVE 說明所述,說明如下:
此漏洞適用於 Java 部署,通常位於執行沙箱 Java Web Start 應用程式的用戶端或沙箱式 Java 小程式,這些部署會載入和執行不受信任的程式碼 (例如來自網際網路的程式碼),並仰賴 Java 沙箱來取得安全性。此漏洞不適用於通常在伺服器中僅載入並執行受信任程式碼的 Java 部署。
Oracle 在 https://www.oracle.com/security-alerts/cpujan2021.html 發出的安全性警示說明中也已確認此問題。
DPA 的 Java JVM 不會載入或允許執行不受信任的程式碼。以下是有關 CVE 說明的 DPA JVM 實作更多特定的詳細資料。
Java Sandbox - DPA 使用 Dell BSafe 加密程式庫。這會在 DPA 應用程式伺服器執行的相同 JVM 中執行。沒有本身稱為沙箱,且由其中的 DPA 維護「程式碼安全性」的隱蔽空間。它會在可能在 JVM 上執行看似可信的不受信任的程式碼時運作。
不受信任的程式碼 - 當下載 Java 小程式並在 Java 程式中執行時,通常會考慮其範圍。在這種情況下,由於不知道來源,因此通常會將下載的程式碼視為不受信任的程式碼。在 DPA 的典範中,安裝和或部署會在現場進行,因此會禁止選擇在 DPA 伺服器的 JVM 中下載並執行此類小程式的程式碼。
不受信任的程式碼 - 當下載 Java 小程式並在 Java 程式中執行時,通常會考慮其範圍。在這種情況下,由於不知道來源,因此通常會將下載的程式碼視為不受信任的程式碼。在 DPA 的典範中,安裝和或部署會在現場進行,因此會禁止選擇在 DPA 伺服器的 JVM 中下載並執行此類小程式的程式碼。
DPA 工程部門已為此漏洞報告執行了第三方程式庫掃描、原始碼分析和 Web 應用程式安全性測試。這些針對 DPA 執行的掃描和測試顯示此類攻擊不可能發生。
解析度
雖然此漏洞存在於 Java 1.8u271 中,但 DPA Java JVM 不會受到此漏洞的影響。
已在 Data Protection Advisor 19.5 及更新版本中解決。DPA 19.5 及更新版本隨附 Java 1.8u281 或更新版本。
如需更多詳細資料或資訊,請聯絡 Dell 技術支援部門。
已在 Data Protection Advisor 19.5 及更新版本中解決。DPA 19.5 及更新版本隨附 Java 1.8u281 或更新版本。
如需更多詳細資料或資訊,請聯絡 Dell 技術支援部門。
產品
Data Protection Advisor文章屬性
文章編號: 000187683
文章類型: Solution
上次修改時間: 01 6月 2021
版本: 1
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。