CVE-2019-3687 – "easy" permission profile allows everyone execute dumpcap and read all network traffic
https://notcve.org/view.php?id=CVE-2019-3687
The permission package in SUSE Linux Enterprise Server allowed all local users to run dumpcap in the "easy" permission profile and sniff network traffic. This issue affects: SUSE Linux Enterprise Server permissions versions starting from 85c83fef7e017f8ab7f8602d3163786d57344439 to 081d081dcfaf61710bda34bc21c80c66276119aa. El paquete de permisos en SUSE Linux Enterprise Server, permitió a todos los usuarios locales ejecutar dumpcap en el perfil de permisos "easy" y detectar el tráfico de red. Este problema afecta: SUSE Linux Enterprise Server versiones de permisos de a partir de 85c83fef7e017f8ab7f8602d3163786d57344439 hasta 081d081dcfaf61710bda34bc21c80c66276119aa. • http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00010.html https://bugzilla.suse.com/show_bug.cgi?id=1148788 • CWE-276: Incorrect Default Permissions •
CVE-2019-3691 – Local privilege escalation from user munge to root
https://notcve.org/view.php?id=CVE-2019-3691
A Symbolic Link (Symlink) Following vulnerability in the packaging of munge in SUSE Linux Enterprise Server 15; openSUSE Factory allowed local attackers to escalate privileges from user munge to root. This issue affects: SUSE Linux Enterprise Server 15 munge versions prior to 0.5.13-4.3.1. openSUSE Factory munge versions prior to 0.5.13-6.1. Un enlace simbólico (Symlink) Después de la vulnerabilidad en el empaquetado de munge en SUSE Linux Enterprise Server 15; openSUSE Factory permitió a los atacantes locales escalar los privilegios de usuario munge a root. Este problema afecta: las versiones de MUSE de SUSE Linux Enterprise Server 15 anteriores a la versión 0.5.13-4.3.1. Versiones de openSUSE Factory Munge anteriores a la versión 0.5.13-6.1. • https://bugzilla.suse.com/show_bug.cgi?id=1155075 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVE-2019-18898 – trousers: Local privilege escalation from tss to root
https://notcve.org/view.php?id=CVE-2019-18898
UNIX Symbolic Link (Symlink) Following vulnerability in the trousers package of SUSE Linux Enterprise Server 15 SP1; openSUSE Factory allowed local attackers escalate privileges from user tss to root. This issue affects: SUSE Linux Enterprise Server 15 SP1 trousers versions prior to 0.3.14-6.3.1. openSUSE Factory trousers versions prior to 0.3.14-7.1. Enlace simbólico de UNIX (Symlink) Siguiendo la vulnerabilidad en el paquete trousers de SUSE Linux Enterprise Server 15 SP1; Los atacantes locales permitidos por openSUSE Factory escalan los privilegios del usuario tss al root. Este problema afecta a: SUSE Linux Enterprise Server 15 SP1 versiones de trousers anteriores a la versión 0.3.14-6.3.1. Versiones de trousers openSUSE Factory anteriores a la versión 0.3.14-7.1. • http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00066.html https://bugzilla.suse.com/show_bug.cgi?id=1157651 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVE-2019-3686 – XSS in distri and version parameter in openQA
https://notcve.org/view.php?id=CVE-2019-3686
openQA before commit c172e8883d8f32fced5e02f9b6faaacc913df27b was vulnerable to XSS in the distri and version parameter. This was reported through the bug bounty program of Offensive Security openQA antes del commit c172e8883d8f32fced5e02f9b6faaacc913df27b, era vulnerable a un ataque de tipo XSS en el parámetro distri and version. Esto se reportó por medio del programa de recompensas de errores de Offensive Security. • https://bugzilla.suse.com/show_bug.cgi?id=1142849 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-3683 – keystone_json_assignment backend granted access to any project for users in user-project-map.json
https://notcve.org/view.php?id=CVE-2019-3683
The keystone-json-assignment package in SUSE Openstack Cloud 8 before commit d7888c75505465490250c00cc0ef4bb1af662f9f every user listed in the /etc/keystone/user-project-map.json was assigned full "member" role access to every project. This allowed these users to access, modify, create and delete arbitrary resources, contrary to expectations. El paquete keystone-json-assignment en SUSE Openstack Cloud versión 8 antes del commit d7888c75505465490250c00cc0ef4bb1af662f9f, a cada usuario listado en el archivo /etc/keystone/user-project-map.json se le fue asignado el rol completo "member" para cada proyecto. Esto permitió a estos usuarios acceder, modificar, crear y eliminar recursos arbitrarios, contrariamente a lo esperado. • https://bugzilla.suse.com/show_bug.cgi?id=1124864 https://www.suse.com/security/cve/CVE-2019-3683 • CWE-732: Incorrect Permission Assignment for Critical Resource •