CVE-2017-18226
https://notcve.org/view.php?id=CVE-2017-18226
The Gentoo net-im/jabberd2 package through 2.6.1 sets the ownership of /var/run/jabber to the jabber account, which might allow local users to kill arbitrary processes by leveraging access to this account for PID file modification before a root script executes a "kill -TERM `cat /var/run/jabber/filename.pid`" command. El paquete net-im/jabberd2 de Gentoo, hasta la versión 2.6.1, establece la propiedad de /var/run/jabber en la cuenta jabber, lo que podría permitir que usuarios locales finalicen procesos arbitrarios aprovechando el acceso a esta cuenta para modificar archivos PID antes de que un script root ejecute un comando "kill -TERM `cat /var/run/jabber/filename.pid`" • https://bugs.gentoo.org/631068 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2017-15945
https://notcve.org/view.php?id=CVE-2017-15945
The installation scripts in the Gentoo dev-db/mysql, dev-db/mariadb, dev-db/percona-server, dev-db/mysql-cluster, and dev-db/mariadb-galera packages before 2017-09-29 have chown calls for user-writable directory trees, which allows local users to gain privileges by leveraging access to the mysql account for creation of a link. Los scripts de instalación en los paquetes dev-db/mysql, dev-db/mariadb, dev-db/percona-server, dev-db/mysql-cluster y dev-db/mariadb-galera de Gento en versiones anteriores a 2017-09-29 tiene llamadas chown para árboles de directorios modificables por los usuarios, lo que puede permitir que los usuarios locales obtengan privilegios aprovechando el acceso a la cuenta mysql para la creación de un enlace. • https://bugs.gentoo.org/630822 https://security.gentoo.org/glsa/201711-04 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2017-14730
https://notcve.org/view.php?id=CVE-2017-14730
The init script in the Gentoo app-admin/logstash-bin package before 5.5.3 and 5.6.x before 5.6.1 has "chown -R" calls for user-writable directory trees, which allows local users to gain privileges by leveraging access to a $LS_USER account for creation of a hard link. El script init en el paquete app-admin/logstash-bin de Gentoo en versiones anteriores a la 5.5.3 y las versiones 5.6.x anteriores a la 5.6.1 tiene llamadas "chown -R" para árboles de directorio escribibles por los usuarios, lo que permite que los usuarios locales obtengan privilegios aprovechando el acceso a una cuenta $LS_USER para crear un vínculo físico. • https://bugs.gentoo.org/628558 https://github.com/gentoo/gentoo/pull/5665 https://gitweb.gentoo.org/repo/gentoo.git/commit/?id=18f97c851c209f291b31ae7a902719f1c17c79fa https://gitweb.gentoo.org/repo/gentoo.git/commit/?id=bbd6cb398c1740c68e9b1b78340c887c58c1fbda • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2014-4909
https://notcve.org/view.php?id=CVE-2014-4909
Integer overflow in the tr_bitfieldEnsureNthBitAlloced function in bitfield.c in Transmission before 2.84 allows remote attackers to cause a denial of service and possibly execute arbitrary code via a crafted peer message, which triggers an out-of-bounds write. Desbordamiento de enteros en la función tr_bitfieldEnsureNthBitAlloced en bitfield.c en Transmission anterior a 2.84 permite a atacantes remotos causar una denegación de servicios y posiblemente ejecutar código arbitrario a través de un mensaje de par manipulado, lo que provoca una escritura fuera de rango. • http://inertiawar.com/submission.go http://lists.fedoraproject.org/pipermail/package-announce/2014-July/135539.html http://lists.opensuse.org/opensuse-updates/2014-08/msg00011.html http://secunia.com/advisories/59897 http://secunia.com/advisories/60108 http://secunia.com/advisories/60527 http://www.debian.org/security/2014/dsa-2988 http://www.openwall.com/lists/oss-security/2014/07/10/4 http://www.openwall.com/lists/oss-security/2014/07/11/5 http://www.osvdb.org/108 • CWE-189: Numeric Errors •
CVE-2013-0348
https://notcve.org/view.php?id=CVE-2013-0348
thttpd.c in sthttpd before 2.26.4-r2 and thttpd 2.25b use world-readable permissions for /var/log/thttpd.log, which allows local users to obtain sensitive information by reading the file. thttpd.c en sthttpd antes de 2.26.4-r2 y httpd 2.25b usa permisos de lectura universales para / var / log / thttpd.log, lo que permite a usuarios locales obtener información sensible mediante la lectura del archivo. • http://lists.opensuse.org/opensuse-updates/2013-12/msg00050.html http://lists.opensuse.org/opensuse-updates/2014-01/msg00015.html http://opensource.dyc.edu/gitweb/?p=sthttpd.git%3Ba=commitdiff%3Bh=d2e186dbd58d274a0dea9b59357edc8498b5388d http://www.openwall.com/lists/oss-security/2013/02/23/7 https://bugs.gentoo.org/show_bug.cgi?id=458896 https://bugzilla.redhat.com/show_bug.cgi?id=924857 • CWE-264: Permissions, Privileges, and Access Controls •