CVE-2017-18226
https://notcve.org/view.php?id=CVE-2017-18226
The Gentoo net-im/jabberd2 package through 2.6.1 sets the ownership of /var/run/jabber to the jabber account, which might allow local users to kill arbitrary processes by leveraging access to this account for PID file modification before a root script executes a "kill -TERM `cat /var/run/jabber/filename.pid`" command. El paquete net-im/jabberd2 de Gentoo, hasta la versión 2.6.1, establece la propiedad de /var/run/jabber en la cuenta jabber, lo que podría permitir que usuarios locales finalicen procesos arbitrarios aprovechando el acceso a esta cuenta para modificar archivos PID antes de que un script root ejecute un comando "kill -TERM `cat /var/run/jabber/filename.pid`" • https://bugs.gentoo.org/631068 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2017-15945
https://notcve.org/view.php?id=CVE-2017-15945
The installation scripts in the Gentoo dev-db/mysql, dev-db/mariadb, dev-db/percona-server, dev-db/mysql-cluster, and dev-db/mariadb-galera packages before 2017-09-29 have chown calls for user-writable directory trees, which allows local users to gain privileges by leveraging access to the mysql account for creation of a link. Los scripts de instalación en los paquetes dev-db/mysql, dev-db/mariadb, dev-db/percona-server, dev-db/mysql-cluster y dev-db/mariadb-galera de Gento en versiones anteriores a 2017-09-29 tiene llamadas chown para árboles de directorios modificables por los usuarios, lo que puede permitir que los usuarios locales obtengan privilegios aprovechando el acceso a la cuenta mysql para la creación de un enlace. • https://bugs.gentoo.org/630822 https://security.gentoo.org/glsa/201711-04 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2017-14730
https://notcve.org/view.php?id=CVE-2017-14730
The init script in the Gentoo app-admin/logstash-bin package before 5.5.3 and 5.6.x before 5.6.1 has "chown -R" calls for user-writable directory trees, which allows local users to gain privileges by leveraging access to a $LS_USER account for creation of a hard link. El script init en el paquete app-admin/logstash-bin de Gentoo en versiones anteriores a la 5.5.3 y las versiones 5.6.x anteriores a la 5.6.1 tiene llamadas "chown -R" para árboles de directorio escribibles por los usuarios, lo que permite que los usuarios locales obtengan privilegios aprovechando el acceso a una cuenta $LS_USER para crear un vínculo físico. • https://bugs.gentoo.org/628558 https://github.com/gentoo/gentoo/pull/5665 https://gitweb.gentoo.org/repo/gentoo.git/commit/?id=18f97c851c209f291b31ae7a902719f1c17c79fa https://gitweb.gentoo.org/repo/gentoo.git/commit/?id=bbd6cb398c1740c68e9b1b78340c887c58c1fbda • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2017-14483
https://notcve.org/view.php?id=CVE-2017-14483
flower.initd in the Gentoo dev-python/flower package before 0.9.1-r1 for Celery Flower sets PID file ownership to a non-root account, which might allow local users to kill arbitrary processes by leveraging access to this non-root account for PID file modification before a root script executes a "kill `cat /pathname`" command. flower.initd en el paquete de Gentoo dev-python/flower en versiones anteriores a la 0.9.1-r1 para Celery Flower establece la propiedad de los archivos PID a una cuenta que no es root, lo que podría permitir que usuarios locales finalicen procesos arbitrarios aprovechando el acceso a esta cuenta que no es root para modificar archivos PID antes de que un script root ejecute un comando "kill `cat /pathname`". • https://bugs.gentoo.org/631020 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVE-2017-14484
https://notcve.org/view.php?id=CVE-2017-14484
The Gentoo sci-mathematics/gimps package before 28.10-r1 for Great Internet Mersenne Prime Search (GIMPS) allows local users to gain privileges by creating a hard link under /var/lib/gimps, because an unsafe "chown -R" command is executed. El paquete de Gentoo sci-mathematics/gimps en versiones anteriores a la 28.10-r1 para Great Internet Mersenne Prime Search (GIMPS) permite que usuarios locales obtengan privilegios mediante la creación de un vínculo físico en /var/lib/gimps debido a que se ejecuta un comando "chown -R" no seguro. • https://bugs.gentoo.org/show_bug.cgi?id=603408 • CWE-269: Improper Privilege Management •