Debian DLA-2426-1：junit4 安全性更新

medium Nessus Plugin ID 142206

語系：

概要

遠端 Debian 主機缺少一個安全性更新。

說明

在 junit4 中，測試規則 TemporaryFolder 中有一個本機資訊洩漏弱點。在類似 Unix 的系統上，系統的暫存目錄會在該系統上的所有使用者之間共用。因此，將檔案和目錄寫入此目錄時，預設為相同系統上的其他使用者均可讀取這些檔案和目錄。此弱點不允許其他使用者覆寫這些目錄或檔案的內容。這完全是一個資訊洩漏弱點。如果 JUnit 測試將敏感資訊 (例如 API 金鑰或密碼) 寫入暫存資料夾，且在 JOS 測試的執行環境中，OS 有其他未受信任的使用者，則此弱點會影響您。

針對 Debian 9 Stretch，已在 4.12-4+deb9u1 版本中修正此問題。

建議您升級 junit4 套件。

如需有關 junit4 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/junit4

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。