Vulnerabilità: CVE-2020-15250

In JUnit4 dalla versione 4.7 e prima di 4.13.1, la regola di prova temporaryFolder contiene una vulnerabilità divulgazione di informazioni locali. Su sistemi Unix-like, directory temporanea del sistema è condivisa tra tutti gli utenti del sistema. A causa di questo, quando i file e le directory sono scritti in questa directory sono, per impostazione predefinita, leggibile da altri utenti che lo stesso sistema. Questa vulnerabilità non consente agli altri utenti di sovrascrivere il contenuto di queste directory o file. Questo è puramente una vulnerabilità di divulgazione di informazioni. Questa vulnerabilità impatti se i test JUnit scrivono le informazioni sensibili, come chiavi API o le password, nella cartella temporanea, ei test JUnit eseguire in un ambiente in cui il sistema operativo ha altri utenti non attendibili. Perché alcune API del file system JDK sono stati aggiunti solo in JDK 1.7, questo questa correzione dipende dalla versione del JDK che si sta utilizzando. Per Java 1.7 e gli utenti più elevate: questa vulnerabilità è fissata in 4.13.1. Per Java 1.6 e gli utenti più bassi: nessuna patch è disponibile, è necessario utilizzare la soluzione qui di seguito. Se non si riesce a correggere, o sono in esecuzione bloccato su Java 1.6, specificando la variabile d’ambiente `java.io.tmpdir` in una directory che è di proprietà esclusiva da parte dell’utente eseguendo risolverà questa vulnerabilità. Per ulteriori informazioni, tra cui un esempio di codice vulnerabile, vedere il riferimento consultivo GitHub sicurezza.


https://github.com/junit-team/junit4/security/advisories/GHSA-269g-pwp5-87pp
https://github.com/junit-team/junit4/security/advisories/GHSA-269g-pwp5-87pp
https://github.com/junit-team/junit4/blob/7852b90cfe1cea1e0cdaa19d490c83f0d8684b50/doc/ReleaseNotes4.13.1.md
https://github.com/junit-team/junit4/blob/7852b90cfe1cea1e0cdaa19d490c83f0d8684b50/doc/ReleaseNotes4.13.1.md
https://github.com/junit-team/junit4/commit/610155b8c22138329f0723eec22521627dbc52ae
https://github.com/junit-team/junit4/commit/610155b8c22138329f0723eec22521627dbc52ae
https://github.com/junit-team/junit4/issues/1676
https://github.com/junit-team/junit4/issues/1676
https://junit.org/junit4/javadoc/4.13/org/junit/rules/TemporaryFolder.html
https://junit.org/junit4/javadoc/4.13/org/junit/rules/TemporaryFolder.html
https://lists.apache.org/thread.html/r95f8ef60c4b3a5284b647bb3132cda08e6fadad888a66b84f49da0b0@%3Ccommits.creadur.apache.org%3E
https://lists.apache.org/thread.html/rde385b8b53ed046600ef68dd6b4528dea7566aaddb02c3e702cc28bc@%3Ccommits.creadur.apache.org%3E
https://lists.apache.org/thread.html/r717877028482c55acf604d7a0106af4ca05da4208c708fb157b53672@%3Ccommits.creadur.apache.org%3E
https://lists.apache.org/thread.html/r5f8841507576f595bb783ccec6a7cb285ea90d4e6f5043eae0e61a41@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/rb2771949c676ca984e58a5cd5ca79c2634dee1945e0406e48e0f8457@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/r500517c23200fb2fdb0b82770a62dd6c88b3521cfb01cfd0c76e3f8b@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/rbaec90e699bc7c7bd9a053f76707a36fda48b6d558f31dc79147dbf9@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/rc49cf1547ef6cac1be4b3c92339b2cae0acacf5acaba13cfa429a872@%3Cdev.creadur.apache.org%3E
https://lists.debian.org/debian-lts-announce/2020/11/msg00003.html
https://lists.apache.org/thread.html/ra1bdb9efae84794e8ffa2f8474be8290ba57830eefe9714b95da714b@%3Cdev.pdfbox.apache.org%3E
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15250


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi