CVE-2021-21331

Versões do Datadog API Client anteriores à 1.0.0-beta.9

O problema está relacionado à criação de arquivos temporários com permissões inseguras pelo método prepareDownloadFilecreates, permitindo a divulgação local de informações confidenciais baixadas por meio da API. Isso ocorre em sistemas do tipo Unix com vários usuários, nos quais o diretório temporário do sistema é compartilhado. A probabilidade de exploração é considerada baixa, pois o código afetado não está em uso. A vulnerabilidade existe nas versões 1 e 2 do API Client.

Para versões anteriores à 1.0.0-beta.9, atualize para a versão 1.0.0-beta.9 para resolver o problema.

Como solução alternativa temporária, especifique java.io.tmpdir ao iniciar a JVM com o sinalizador -Djava.io.tmpdir, indicando um caminho para um diretório com permissões drw------- de propriedade do dd-agent.