CVE-2011-4930 – Condor: Multiple format string flaws
https://notcve.org/view.php?id=CVE-2011-4930
Multiple format string vulnerabilities in Condor 7.2.0 through 7.6.4, and possibly certain 7.7.x versions, as used in Red Hat MRG Grid and possibly other products, allow local users to cause a denial of service (condor_schedd daemon and failure to launch jobs) and possibly execute arbitrary code via format string specifiers in (1) the reason for a hold for a job that uses an XML user log, (2) the filename of a file to be transferred, and possibly other unspecified vectors. Múltiples vulnerabilidades de cadena de formato en Condor 7.2.0 hasta 7.6.4 y posiblemente ciertas versiones 7.7.x, como las utilizadas en Red Hat MRG Grid y posiblemente otros productos, permiten a usuarios locales causar una denegación de servicio (demonio condor_schedd y fallo en el lanzamiento de trabajos) y posiblemente ejecutar código arbitrario a través de una cadena de especificadores de formato en (1) la razón de un retraso en un trabajo que utiliza un registro de usuario XML, (2) el nombre de un archivo pendiente de transferir y posiblemente otros vectores no especificados. • http://research.cs.wisc.edu/htcondor/security/vulnerabilities/CONDOR-2012-0001.html http://rhn.redhat.com/errata/RHSA-2012-0099.html http://rhn.redhat.com/errata/RHSA-2012-0100.html https://bugzilla.redhat.com/show_bug.cgi?id=759548 https://htcondor-git.cs.wisc.edu/?p=condor.git%3Ba=commitdiff%3Bh=5e5571d1a431eb3c61977b6dd6ec90186ef79867 https://htcondor-wiki.cs.wisc.edu/index.cgi/chngview?cn=28264 https://htcondor-wiki.cs.wisc.edu/index.cgi/chngview?cn=28429 https://htcondor-wiki.cs.w • CWE-134: Use of Externally-Controlled Format String •
CVE-2010-4179 – plugin: enable QUEUE_ALL_USERS_TRUSTED for Submit/Hold/Release/Remove ops
https://notcve.org/view.php?id=CVE-2010-4179
The installation documentation for Red Hat Enterprise Messaging, Realtime and Grid (MRG) 1.3 recommends that Condor should be configured so that the MRG Management Console (cumin) can submit jobs for users, which creates a trusted channel with insufficient access control that allows local users with the ability to publish to a broker to run jobs as arbitrary users via Condor QMF plug-ins. La documentación de instalación de Red Hat Enterprise Messaging, Realtime and Grid (MRG) v1.3 recomienda que Condor debe ser configurado para que la consola de gestion de MRG (cumin) pueda enviar tareas a los usuarios, lo que crea un canal de confianza con insuficientes controles de acceso, lo que permite ejecutar tareas como un usuario cualquiera a usuarios locales con la capacidad de publicar a un broker a través de las extensiones de Condor QMF. • http://secunia.com/advisories/42406 http://www.redhat.com/support/errata/RHSA-2010-0921.html http://www.redhat.com/support/errata/RHSA-2010-0922.html http://www.securitytracker.com/id?1024806 http://www.vupen.com/english/advisories/2010/3091 https://bugzilla.redhat.com/show_bug.cgi?id=654856 https://access.redhat.com/security/cve/CVE-2010-4179 • CWE-264: Permissions, Privileges, and Access Controls CWE-284: Improper Access Control •