Apache Groovy 安全漏洞

CNNVD-ID编号	CNNVD-202012-422
CVE编号	CVE-2020-17521
发布时间	2020-12-07
更新时间	2021-01-20
漏洞类型	其他
漏洞来源	N/A
危险等级	中危
威胁类型	本地
厂商	N/A

漏洞介绍

Apache Groovy是美国阿帕奇（Apache）基金会的一款基于Java平台的面向对象编程语言。

Apache Groovy provides 存在安全漏洞，该漏洞源于Apache Groovy提供了扩展方法来帮助创建临时目录。在此修复之前，Groovy对这些扩展方法的实现使用的是一个已被取代的Java JDK方法调用，在某些上下文中，这种方法在某些操作系统上可能不安全。未使用本建议中提到的扩展方法的用户不受影响，以下产品及版本受到影响：2.0版本至2.4.20版本, 2.5.0版本至2.5.13版本, 3.0.0版本至3.0.6版本, 4.0.0-alpha-1版本。

漏洞补丁

目前厂商已发布升级了Apache Groovy 安全漏洞的补丁，Apache Groovy 安全漏洞的补丁获取链接：

https://issues.apache.org/jira/browse/GROOVY-9824?page=com.atlassian.jira.plugin.system.issuetabpanels%3Aall-tabpanel

参考网址

来源:CONFIRM

链接：https://groovy-lang.org/security.html#CVE-2020-17521
来源:MLIST

链接：https://lists.apache.org/thread.html/ra9dab34bf8625511f23692ad0fcee2725f782e9aad6c5cdff6cf4465@%3Cnotifications.groovy.apache.org%3E
来源:CONFIRM

链接：https://security.netapp.com/advisory/ntap-20201218-0006/
来源:vigilance.fr

链接：https://vigilance.fr/vulnerability/Apache-Groovy-information-disclosure-via-Temporary-Directories-34170
来源:www.oracle.com

链接：https://www.oracle.com/security-alerts/cpujan2021.html
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.4535/

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202012-422