Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01029

Опубликовано: 12 окт. 2020
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость библиотеки JUnit4 связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
АО «Концерн ВНИИНС»
Apache Software Foundation

Наименование ПО

Ubuntu
Debian GNU/Linux
JUnit4
ОС ОН «Стрелец»
Maven

Версия ПО

16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
14.04 ESM (Ubuntu)
20.04 LTS (Ubuntu)
20.10 (Ubuntu)
21.04 (Ubuntu)
от 4.7 до 4.13.1 (JUnit4)
до 16.01.2023 (ОС ОН «Стрелец»)
3.8.8 (Maven)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 14.04 ESM
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 20.10
Canonical Ltd. Ubuntu 21.04
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.
Использование рекомендаций:
Обновление библиотеки JUnit4 до актуальной версии
Для Ubuntu:
https://ubuntu.com/security/CVE-2020-15250?_ga=2.31497982.113542731.1612758940-997510329.1585215282
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/11/msg00003.html
Для ОС ОН «Стрелец»:
Обновление программного обеспечения junit4 до версии 4.12-4+deb9u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 12%
0.00043
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-15250

CVSS3: 4.4
ubuntu
почти 5 лет назад

In JUnit4 from version 4.7 and before 4.13.1, the test rule TemporaryFolder contains a local information disclosure vulnerability. On Unix like systems, the system's temporary directory is shared between all users on that system. Because of this, when files and directories are written into this directory they are, by default, readable by other users on that same system. This vulnerability does not allow other users to overwrite the contents of these directories or files. This is purely an information disclosure vulnerability. This vulnerability impacts you if the JUnit tests write sensitive information, like API keys or passwords, into the temporary folder, and the JUnit tests execute in an environment where the OS has other untrusted users. Because certain JDK file system APIs were only added in JDK 1.7, this this fix is dependent upon the version of the JDK you are using. For Java 1.7 and higher users: this vulnerability is fixed in 4.13.1. For Java 1.6 and lower users: no patch i...

redhat логотип

CVE-2020-15250

CVSS3: 4
redhat
почти 5 лет назад

In JUnit4 from version 4.7 and before 4.13.1, the test rule TemporaryFolder contains a local information disclosure vulnerability. On Unix like systems, the system's temporary directory is shared between all users on that system. Because of this, when files and directories are written into this directory they are, by default, readable by other users on that same system. This vulnerability does not allow other users to overwrite the contents of these directories or files. This is purely an information disclosure vulnerability. This vulnerability impacts you if the JUnit tests write sensitive information, like API keys or passwords, into the temporary folder, and the JUnit tests execute in an environment where the OS has other untrusted users. Because certain JDK file system APIs were only added in JDK 1.7, this this fix is dependent upon the version of the JDK you are using. For Java 1.7 and higher users: this vulnerability is fixed in 4.13.1. For Java 1.6 and lower users: no patch i...

nvd логотип

CVE-2020-15250

CVSS3: 4.4
nvd
почти 5 лет назад

In JUnit4 from version 4.7 and before 4.13.1, the test rule TemporaryFolder contains a local information disclosure vulnerability. On Unix like systems, the system's temporary directory is shared between all users on that system. Because of this, when files and directories are written into this directory they are, by default, readable by other users on that same system. This vulnerability does not allow other users to overwrite the contents of these directories or files. This is purely an information disclosure vulnerability. This vulnerability impacts you if the JUnit tests write sensitive information, like API keys or passwords, into the temporary folder, and the JUnit tests execute in an environment where the OS has other untrusted users. Because certain JDK file system APIs were only added in JDK 1.7, this this fix is dependent upon the version of the JDK you are using. For Java 1.7 and higher users: this vulnerability is fixed in 4.13.1. For Java 1.6 and lower users: no patch is a

msrc логотип

CVE-2020-15250

CVSS3: 5.5
msrc
6 месяцев назад

Описание отсутствует

debian логотип

CVE-2020-15250

CVSS3: 4.4
debian
почти 5 лет назад

In JUnit4 from version 4.7 and before 4.13.1, the test rule TemporaryF ...

EPSS

Процентиль: 12%
0.00043
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2