Vulnerabilidad: CVE-2020-15250

En junit4 partir de la versión 4.7 y antes de 4.13.1, el TemporaryFolder regla de prueba contiene una vulnerabilidad de divulgación de información local. En sistemas Unix, el directorio temporal del sistema se comparte entre todos los usuarios de ese sistema. Debido a esto, cuando los archivos y directorios se escriben en este directorio son, por defecto, leído por otros usuarios en el mismo sistema. Esta vulnerabilidad no permite que otros usuarios sobrescribir el contenido de estos directorios o archivos. Esto es puramente una vulnerabilidad de divulgación de información. Esto afecta la vulnerabilidad que si las pruebas JUnit escribir información sensible, como claves de la API o contraseñas, en la carpeta temporal, y las pruebas JUnit se ejecutan en un entorno en el que el sistema operativo tiene otros usuarios no confiables. Debido a que ciertas API del sistema de archivos sólo de JDK se añadieron en el JDK 1.7, esto esta corrección depende de la versión del JDK que está utilizando. Para Java 1.7 y los usuarios más altos: esta vulnerabilidad se fija en 4.13.1. Para Java 1.6 y los usuarios de menores: no hay parche está disponible, debe utilizar la solución siguiente. Si no puede parchear, o está ejecutando atascado en Java 1.6, la especificación de la variable de entorno del sistema `java.io.tmpdir` a un directorio que es propiedad exclusiva del usuario que ejecuta va a arreglar esta vulnerabilidad. Para obtener más información, incluyendo un ejemplo de código vulnerable, consulte la referencia Asesor de Seguridad GitHub.


https://github.com/junit-team/junit4/security/advisories/GHSA-269g-pwp5-87pp
https://github.com/junit-team/junit4/security/advisories/GHSA-269g-pwp5-87pp
https://github.com/junit-team/junit4/blob/7852b90cfe1cea1e0cdaa19d490c83f0d8684b50/doc/ReleaseNotes4.13.1.md
https://github.com/junit-team/junit4/blob/7852b90cfe1cea1e0cdaa19d490c83f0d8684b50/doc/ReleaseNotes4.13.1.md
https://github.com/junit-team/junit4/commit/610155b8c22138329f0723eec22521627dbc52ae
https://github.com/junit-team/junit4/commit/610155b8c22138329f0723eec22521627dbc52ae
https://github.com/junit-team/junit4/issues/1676
https://github.com/junit-team/junit4/issues/1676
https://junit.org/junit4/javadoc/4.13/org/junit/rules/TemporaryFolder.html
https://junit.org/junit4/javadoc/4.13/org/junit/rules/TemporaryFolder.html
https://lists.apache.org/thread.html/r95f8ef60c4b3a5284b647bb3132cda08e6fadad888a66b84f49da0b0@%3Ccommits.creadur.apache.org%3E
https://lists.apache.org/thread.html/rde385b8b53ed046600ef68dd6b4528dea7566aaddb02c3e702cc28bc@%3Ccommits.creadur.apache.org%3E
https://lists.apache.org/thread.html/r717877028482c55acf604d7a0106af4ca05da4208c708fb157b53672@%3Ccommits.creadur.apache.org%3E
https://lists.apache.org/thread.html/r5f8841507576f595bb783ccec6a7cb285ea90d4e6f5043eae0e61a41@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/rb2771949c676ca984e58a5cd5ca79c2634dee1945e0406e48e0f8457@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/r500517c23200fb2fdb0b82770a62dd6c88b3521cfb01cfd0c76e3f8b@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/rbaec90e699bc7c7bd9a053f76707a36fda48b6d558f31dc79147dbf9@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/rc49cf1547ef6cac1be4b3c92339b2cae0acacf5acaba13cfa429a872@%3Cdev.creadur.apache.org%3E
https://lists.debian.org/debian-lts-announce/2020/11/msg00003.html
https://lists.apache.org/thread.html/ra1bdb9efae84794e8ffa2f8474be8290ba57830eefe9714b95da714b@%3Cdev.pdfbox.apache.org%3E
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15250


Es posible dejar un comentario como usuario registrado del sitio, accediendo a través de las redes sociales, la cuenta de wordpress o como usuarios anónimos. Si desea dejar un comentario como usuario anónimo, se le notificará por correo electrónico una posible respuesta sólo si introduce su dirección de correo electrónico (opcional). La inclusión de cualquier dato en los campos de comentario es totalmente opcional. Quien decida introducir algún dato acepta el tratamiento de los mismos para las finalidades inherentes al servicio o la respuesta a los comentarios y comunicaciones estrictamente necesarias.


Deja un comentario