CVE-2016-3095
https://notcve.org/view.php?id=CVE-2016-3095
server/bin/pulp-gen-ca-certificate in Pulp before 2.8.2 allows local users to read the generated private key. El archivo server/bin/pulp-gen-ca-certificate en Pulp anterior a versión 2.8.2, permite a los usuarios locales leer la clave privada generada. • http://lists.fedoraproject.org/pipermail/package-announce/2016-April/182006.html http://www.openwall.com/lists/oss-security/2016/04/06/3 http://www.openwall.com/lists/oss-security/2016/04/18/11 https://bugzilla.redhat.com/show_bug.cgi?id=1322706 https://github.com/pulp/pulp/pull/2503/commits/9f969b94c4b4f310865455d36db207de6cffebca • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2016-3108
https://notcve.org/view.php?id=CVE-2016-3108
The pulp-gen-nodes-certificate script in Pulp before 2.8.3 allows local users to leak the keys or write to arbitrary files via a symlink attack. El script del archivo pulp-gen-nodes-certificate en Pulp anterior a la versión 2.8.3, permite a los usuarios locales filtrar las claves o escribir en archivos arbitrarios por medio de un ataque de symlink. • http://www.openwall.com/lists/oss-security/2016/05/20/1 https://access.redhat.com/errata/RHBA-2016:1501 https://bugzilla.redhat.com/attachment.cgi?id=1146475 https://bugzilla.redhat.com/show_bug.cgi?id=1325934 https://github.com/pulp/pulp/pull/2528 https://pulp.plan.io/issues/1830 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVE-2016-3111
https://notcve.org/view.php?id=CVE-2016-3111
pulp.spec in the installation process for Pulp 2.8.3 generates the RSA key pairs used to validate messages between the pulp server and pulp consumers in a directory that is world-readable before later modifying the permissions, which might allow local users to read the generated RSA keys via reading the key files while the installation process is running. pulp.spec en el proceso de instalación para Pulp 2.8.3 genera pares de claves RSA empleadas para validar mensajes entre el servidor pulp y los usuarios de pulp en un directorio que puede ser leído por cualquier usuario antes de modificar los permisos. Esto puede permitir que los usuarios locales lean las claves RSA generadas mediante la lectura de archivos de claves mientras se está ejecutando el proceso de instalación. • http://pkgs.fedoraproject.org/cgit/rpms/pulp.git/tree/pulp.spec#n317 http://pkgs.fedoraproject.org/cgit/rpms/pulp.git/tree/pulp.spec#n620 http://www.openwall.com/lists/oss-security/2016/05/20/1 https://access.redhat.com/errata/RHBA-2016:1501 https://bugzilla.redhat.com/attachment.cgi?id=1146522 https://bugzilla.redhat.com/show_bug.cgi?id=1326251 https://github.com/pulp/pulp/blob/master/pulp.spec#L473-L486 https://github.com/pulp/pulp/blob/master/pulp.spec#L894-L • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2016-3112
https://notcve.org/view.php?id=CVE-2016-3112
client/consumer/cli.py in Pulp before 2.8.3 writes consumer private keys to etc/pki/pulp/consumer/consumer-cert.pem as world-readable, which allows remote authenticated users to obtain the consumer private keys and escalate privileges by reading /etc/pki/pulp/consumer/consumer-cert, and authenticating as a consumer user. client/consumer/cli.py en Pulp, en versiones anteriores a la 2.8.3, escribe claves privadas del usuario en etc/pki/pulp/consumer/consumer-cert.pem de forma legible para todos los usuarios, lo que permite que usuarios autenticados remotos obtengan las claves privadas de los consumidores y eleven privilegios mediante la lectura de /etc/pki/pulp/consumer/consumer-cert y autenticándose como el usuario consumidor. • http://www.openwall.com/lists/oss-security/2016/05/20/1 https://access.redhat.com/errata/RHBA-2016:1501 https://bugzilla.redhat.com/attachment.cgi?id=1146538 https://bugzilla.redhat.com/show_bug.cgi?id=1326242 https://pulp.plan.io/issues/1834 • CWE-284: Improper Access Control •
CVE-2016-3107
https://notcve.org/view.php?id=CVE-2016-3107
The Node certificate in Pulp before 2.8.3 contains the private key, and is stored in a world-readable file in the "/etc/pki/pulp/nodes/" directory, which allows local users to gain access to sensitive data. El certificado Node en Pulp anterior a la versión 2.8.3, contiene la clave privada y se almacena en un archivo de lectura mundial en el directorio "/etc/pki/pulp/nodes/", que permite a los usuarios locales conseguir acceso a datos confidenciales. • http://www.openwall.com/lists/oss-security/2016/05/20/1 https://access.redhat.com/errata/RHBA-2016:1501 https://bugzilla.redhat.com/attachment.cgi?id=1146471 https://bugzilla.redhat.com/show_bug.cgi?id=1325930 https://pulp.plan.io/issues/1833 • CWE-284: Improper Access Control •