Vulnerabilidad en identificador no válidoel método "File.createTempFile" en el almacenamiento temporal de cargas en el disco en sistemas tipo Unix en Netty (CVE-2021-21290)

Netty es un framework de aplicación de red de código abierto y asíncrono controlado por eventos para el desarrollo rápido de servidores y clientes de protocolo de alto rendimiento mantenibles. En Netty anterior a la versión 4.1.59.Final, se presenta una vulnerabilidad en sistemas similares a Unix que involucra un archivo temporal no seguro. Cuando se usan los decodificadores multiparte de netty, la divulgación de información local puede ocurrir por medio del directorio temporal del sistema local si el almacenamiento temporal de cargas en el disco está habilitado. En sistemas tipo Unix, el directorio temporal se comparte entre todos los usuarios. Tal y como, escribir en este directorio utilizando las API que no establezcan explícitamente los permisos de archivo/directorio puede conducir a una divulgación de información. Cabe señalar que esto no afecta a los sistemas operativos MacOS modernos. El método "File.createTempFile" en sistemas similares a Unix crea un archivo aleatorio, pero, por defecto creará este archivo con los permisos "-rw-r - r--". Por lo tanto, si se escribe información confidencial en este archivo, otros usuarios locales pueden leer esta información. Este es el caso en el que "AbstractDiskHttpData" de netty es vulnerable. Esto ha sido corregido en la versión 4.1.59.Final. Como solución alternativa, se puede especificar su propio "java.io.tmpdir" al iniciar la JVM o utilizar "DefaultHttpDataFactory.setBaseDir(...)" para establecer el directorio en algo que solo el usuario actual pueda leer