Azure Linux 3.0 安全更新junit (CVE-2020-15250)
medium Nessus 插件 ID 296033
语言:
简介
远程 Azure Linux 主机缺少一个或多个安全更新。描述
远程 Azure Linux 3.0 主机上安装的 junit 版本低于 测试的版本。因此,它受到 CVE-2020-15250 公告中提及的一个漏洞影响。- 在 4.7 之后和 4.13.1 之前的 JUnit4 中,测试规则 TemporaryFolder 中包含本地信息泄露漏洞。在类似 Unix 的系统上,系统的临时目录由该系统上的所有用户共享。因此,文件和目录在写入此目录时,默认可以由同一系统上的其他用户读取。此漏洞会阻止其他用户覆盖这些目录或文件的内容。这纯粹是信息泄露漏洞。如果 JUnit 测试将敏感信息(如 API 密钥或密码)写入临时文件夹,并且 JUnit 测试执行环境中的操作系统具有其他不受信任的用户,则您会受到此漏洞影响。由于仅在 JDK 1.7 中添加了某些 JDK 文件系统 API,因此,此修复程序取决于您使用的 JDK 版本。对于 Java 1.7 和更高版本用户已在 4.13.1中修复此漏洞。对于 Java 1.6 和更低版本的用户没有可用的修补程序您必须使用下面的变通方案。如果您无法安装补丁,或在 Java 1.6 上运行时卡滞,在执行用户的专有目录中指定“java.io.tmpdir”系统环境变量将可修复此漏洞。有关更多信息,包括易受攻击的代码示例,请参阅引用的 GitHub 安全公告。(CVE-2020-15250)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: Medium
ID: 296033
文件名: azure_linux_CVE-2020-15250.nasl
版本: 1.1
类型: local
发布时间: 2026/1/22
最近更新时间: 2026/1/22
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Low
基本分数: 1.9
时间分数: 1.5
矢量: CVSS2#AV:L/AC:M/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2020-15250
CVSS v3
风险因素: Medium
基本分数: 5.5
时间分数: 5
矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:microsoft:azure_linux:junit, x-cpe:/o:microsoft:azure_linux, p-cpe:/a:microsoft:azure_linux:junit-manual, p-cpe:/a:microsoft:azure_linux:junit-javadoc
必需的 KB 项: Host/local_checks_enabled, Host/AzureLinux/release, Host/AzureLinux/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/2/11
漏洞发布日期: 2020/10/12
参考资料信息
CVE: CVE-2020-15250