PT-2020-5517 · Junit+4 · Junit4+4
Publicado
2020-10-12
·
Atualizado
2022-06-11
·
CVE-2020-15250
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 4.7 a 4.13.1 do JUnit4
Descrição
O problema está relacionado a uma vulnerabilidade de divulgação de informações locais na regra de teste TemporaryFolder do JUnit4. Em sistemas do tipo Unix, o diretório temporário do sistema é compartilhado entre todos os usuários, tornando os arquivos e diretórios gravados nesse diretório legíveis por outros usuários no mesmo sistema. Essa vulnerabilidade afeta testes JUnit que gravam informações confidenciais, como chaves de API ou senhas, na pasta temporária e são executados em um ambiente com outros usuários não confiáveis.
Recomendações
Para usuários do Java 1.7 e versões superiores: atualize para a versão 4.13.1 para corrigir a vulnerabilidade.
Para usuários do Java 1.6 e versões inferiores: não há patch disponível; como solução alternativa, especifique a variável de ambiente do sistema
java.io.tmpdir para um diretório de propriedade exclusiva do usuário que está executando o programa.Como solução alternativa temporária, considere restringir o acesso à pasta temporária para minimizar o risco de exploração.
Exploit
Correção
Information Disclosure
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Junit4
Linuxmint
Ubuntu