> Junit 信息泄露漏洞

Junit 信息泄露漏洞

CNNVD-ID编号	CNNVD-202010-445	CVE编号	CVE-2020-15250
发布时间	2020-10-12	更新时间	2020-11-24
漏洞类型	信息泄露	漏洞来源	N/A
危险等级	中危	威胁类型	本地
厂商	N/A

漏洞介绍

Junit是个人开发者的一个开放源代码的Java测试框架。

JUnit4 4.13.1之前版本存在信息泄露漏洞，该漏洞源于测试规则TemporaryFolder包含一个本地信息泄露漏洞。在类似Unix的系统中，系统的临时目录在该系统上的所有用户之间共享。因此，在将文件和目录写入此目录时，默认情况下，相同系统上的其他用户都可以读取它们。此漏洞不允许其他用户覆盖这些目录或文件的内容。这纯粹是一个信息披露的漏洞。如果JUnit测试编写了敏感信息，这个漏洞就会对您造成影响。

漏洞补丁

目前厂商已发布升级了Junit 信息泄露漏洞的补丁，Junit 信息泄露漏洞的补丁获取链接：

https://github.com/junit-team/junit4/blob/7852b90cfe1cea1e0cdaa19d490c83f0d8684b50/doc/ReleaseNotes4.13.1.md

参考网址

来源:MLIST

链接：https://lists.apache.org/thread.html/rc49cf1547ef6cac1be4b3c92339b2cae0acacf5acaba13cfa429a872@%3Cdev.creadur.apache.org%3E

来源:MLIST

链接：https://lists.apache.org/thread.html/r95f8ef60c4b3a5284b647bb3132cda08e6fadad888a66b84f49da0b0@%3Ccommits.creadur.apache.org%3E

来源:MLIST

链接：https://lists.apache.org/thread.html/r717877028482c55acf604d7a0106af4ca05da4208c708fb157b53672@%3Ccommits.creadur.apache.org%3E

来源:MLIST

链接：https://lists.apache.org/thread.html/r5f8841507576f595bb783ccec6a7cb285ea90d4e6f5043eae0e61a41@%3Cdev.creadur.apache.org%3E

来源:MISC

链接：https://junit.org/junit4/javadoc/4.13/org/junit/rules/TemporaryFolder.html

来源:MISC

链接：https://github.com/junit-team/junit4/issues/1676

来源:MLIST

链接：https://lists.apache.org/thread.html/rb2771949c676ca984e58a5cd5ca79c2634dee1945e0406e48e0f8457@%3Cdev.creadur.apache.org%3E

来源:MLIST

链接：https://lists.apache.org/thread.html/ra1bdb9efae84794e8ffa2f8474be8290ba57830eefe9714b95da714b@%3Cdev.pdfbox.apache.org%3E

来源:MLIST

链接：https://lists.debian.org/debian-lts-announce/2020/11/msg00003.html

来源:MLIST

链接：https://lists.apache.org/thread.html/rbaec90e699bc7c7bd9a053f76707a36fda48b6d558f31dc79147dbf9@%3Cdev.creadur.apache.org%3E

来源:MLIST

链接：https://lists.apache.org/thread.html/r500517c23200fb2fdb0b82770a62dd6c88b3521cfb01cfd0c76e3f8b@%3Cdev.creadur.apache.org%3E

来源:CONFIRM

链接：https://github.com/junit-team/junit4/security/advisories/GHSA-269g-pwp5-87pp

来源:MLIST

链接：https://lists.apache.org/thread.html/rde385b8b53ed046600ef68dd6b4528dea7566aaddb02c3e702cc28bc@%3Ccommits.creadur.apache.org%3E

来源:MISC

链接：https://github.com/junit-team/junit4/blob/7852b90cfe1cea1e0cdaa19d490c83f0d8684b50/doc/ReleaseNotes4.13.1.md

来源:MISC

链接：https://github.com/junit-team/junit4/commit/610155b8c22138329f0723eec22521627dbc52ae

来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.3767/

来源:nvd.nist.gov

链接：https://nvd.nist.gov/vuln/detail/CVE-2020-15250

来源:vigilance.fr

链接：https://vigilance.fr/vulnerability/JUnit4-information-disclosure-via-TemporaryFolder-33749

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202010-445