PT-2020-3256 · Apache+3 · Apache Ant+3

Publicado

2020-05-14

·

Atualizado

2024-06-15

·

CVE-2020-1945

CVSS v3.1

6.3

Média

VetorAV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Apache Ant de 1.1 a 1.9.14
Versões do Apache Ant de 1.10.0 a 1.10.7
Descrição
O problema está relacionado ao uso do diretório temporário padrão identificado pela propriedade do sistema Java java.io.tmpdir para várias tarefas, o que pode levar ao vazamento de informações confidenciais. Especificamente, as tarefas fixcrlf e replaceregexp copiam arquivos do diretório temporário de volta para a árvore de compilação, permitindo que um invasor injete arquivos-fonte modificados no processo de compilação. Isso poderia permitir que um invasor modificasse dados ou obtivesse acesso não autorizado a informações protegidas.
Recomendações
Para as versões 1.1 a 1.9.14 do Apache Ant, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 1.10.0 a 1.10.7 do Apache Ant, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso ao diretório temporário identificado por java.io.tmpdir para minimizar o risco de exploração.

Correção

Information Disclosure

Exposure of Resource to Wrong Sphere

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-377CWE-668

Identificadores relacionados

BDU:2020-03564
CVE-2020-1945
GHSA-4P6W-M9WC-C9C9
MGASA-2020-0237
OPENSUSE-SU-2020:1022-1
OPENSUSE-SU-2020_1022-1
OPENSUSE-SU-2024:10616-1
OPENSUSE-SU-2024:11676-1
RHSA-2021:0423
RHSA-2021:0429
RHSA-2021:0637
SUSE-SU-2020:1944-1
SUSE-SU-2020_1944-1
SUSE-SU-2022:4022-1
USN-4380-1
USN-4874-1

Produtos afetados

Apache Ant
Linuxmint
Suse
Ubuntu