检测

Linux Distros 未修补的漏洞: CVE-2020-15250

medium Nessus 插件 ID 223316

语言:

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

 - 在 4.7 之后和 4.13.1 之前的 JUnit4 中,测试规则 TemporaryFolder 中包含本地信息泄露漏洞。在类似 Unix 的系统上,系统的临时目录由该系统上的所有用户共享。因此,文件和目录在写入此目录时,默认可以由同一系统上的其他用户读取。此漏洞会阻止其他用户覆盖这些目录或文件的内容。这纯粹是信息泄露漏洞。如果 JUnit 测试将敏感信息(如 API 密钥或密码)写入临时文件夹,并且 JUnit 测试执行环境中的操作系统具有其他不受信任的用户,则您会受到此漏洞影响。由于仅在 JDK 1.7 中添加了某些 JDK 文件系统 API,因此,此修复程序取决于您使用的 JDK 版本。对于 Java 1.7 及更高版本用户:此漏洞已在 4.13.1中修复。对于 Java 1.6 和更低版本用户:无可用的修补程序,必须使用下面的变通方案。如果您无法安装补丁,或在 Java 1.6 上运行时卡滞,在执行用户的专有目录中指定“java.io.tmpdir”系统环境变量将可修复此漏洞。有关更多信息,包括易受攻击的代码示例,请参阅引用的 GitHub 安全公告。(CVE-2020-15250)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://access.redhat.com/security/cve/cve-2020-15250

https://ubuntu.com/security/CVE-2020-15250

插件详情

严重性: Medium

ID: 223316

文件名: unpatched_CVE_2020_15250.nasl

版本: 1.3

类型: local

代理: unix

系列: Misc.

发布时间: 2025/3/4

最近更新时间: 2025/9/2

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Low

基本分数: 1.9

时间分数: 1.5

矢量: CVSS2#AV:L/AC:M/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2020-15250

CVSS v3

风险因素: Medium

基本分数: 5.5

时间分数: 5

矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:junit-manual, p-cpe:/a:centos:centos:junit-manual, cpe:/o:redhat:enterprise_linux:8, cpe:/o:centos:centos:8, p-cpe:/a:canonical:ubuntu_linux:junit4, cpe:/o:canonical:ubuntu_linux:14.04:-:lts, p-cpe:/a:redhat:enterprise_linux:junit, p-cpe:/a:redhat:enterprise_linux:junit-javadoc, p-cpe:/a:centos:centos:junit, p-cpe:/a:centos:centos:junit-javadoc

必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

可利用: true

易利用性: Exploits are available

漏洞发布日期: 2020/10/11

参考资料信息

CVE: CVE-2020-15250