Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS:JUnit 4 漏洞 (USN-4731-1)
medium Nessus 插件 ID 146384
语言:
简介
远程 Ubuntu 主机缺少安全更新。描述
远程 Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 20.10 主机上安装的程序包受到 USN-4731-1 公告中提及的一个漏洞的影响。- 在 4.7 之后和 4.13.1 之前的 JUnit4 中,测试规则 TemporaryFolder 中包含本地信息泄露漏洞。在类似 Unix 的系统上,系统的临时目录由该系统上的所有用户共享。因此,文件和目录在写入此目录时,默认可以由同一系统上的其他用户读取。此漏洞会阻止其他用户覆盖这些目录或文件的内容。这纯粹是信息泄露漏洞。如果 JUnit 测试将敏感信息(如 API 密钥或密码)写入临时文件夹,并且 JUnit 测试执行环境中的操作系统具有其他不受信任的用户,则您会受到此漏洞影响。由于仅在 JDK 1.7 中添加了某些 JDK 文件系统 API,因此,此修复程序取决于您使用的 JDK 版本。对于 Java 1.7 及更高版本的用户:此漏洞已在 4.13.1 中修复。对于 Java 1.6 及更低版本的用户:没有可用补丁,您必须使用下面的变通方案。如果您无法安装补丁,或在 Java 1.6 上运行时卡滞,在执行用户的专有目录中指定“java.io.tmpdir”系统环境变量将可修复此漏洞。有关更多信息,包括易受攻击的代码示例,请参阅引用的 GitHub 安全公告。(CVE-2020-15250)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 junit4 程序包。另见
插件详情
严重性: Medium
ID: 146384
文件名: ubuntu_USN-4731-1.nasl
版本: 1.5
类型: local
代理: unix
发布时间: 2021/2/11
最近更新时间: 2023/10/16
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Low
基本分数: 1.9
时间分数: 1.5
矢量: CVSS2#AV:L/AC:M/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2020-15250
CVSS v3
风险因素: Medium
基本分数: 5.5
时间分数: 5
矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:junit4
必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
可利用: true
易利用性: Exploits are available
补丁发布日期: 2021/2/10
漏洞发布日期: 2020/10/12
参考资料信息
CVE: CVE-2020-15250
USN: 4731-1