Bulletin d'alerte Debian

DLA-2426-1 junit4 -- Mise à jour de sécurité pour LTS

Date du rapport :
1er novembre 2020
Paquets concernés :
junit4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 972231.
Dans le dictionnaire CVE du Mitre : CVE-2020-15250.
Plus de précisions :

Dans junit4, la règle de test TemporaryFolder contient une vulnérabilité locale de divulgation d'informations. Dans les systèmes Unix, le répertoire temporaire du système est partagé par tous ses utilisateurs. À cause de cela, lorsque des fichiers et des répertoires y sont écrits, ils sont par défaut lisibles par tous les utilisateurs du même système. Cette vulnérabilité ne permet pas d’écraser le contenu de ces répertoires ou de ces fichiers. Il s’agit strictement d’une vulnérabilité de divulgation d'informations. Cette vulnérabilité impacte si les tests JUnit écrivent des informations sensibles, telles que des clés ou des mots de passe d’API, dans le répertoire temporaire, et que les tests JUnit sont exécutés dans un environnement où le système d’exploitation à des utilisateurs non fiables.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 4.12-4+deb9u1.

Nous vous recommandons de mettre à jour vos paquets junit4.

Pour disposer d'un état détaillé sur la sécurité de junit4, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/junit4.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.