CVE-2008-1734
https://notcve.org/view.php?id=CVE-2008-1734
Interpretation conflict in PHP Toolkit before 1.0.1 on Gentoo Linux might allow local users to cause a denial of service (PHP outage) and read contents of PHP scripts by creating a file with a one-letter lowercase alphabetic name, which triggers interpretation of a certain unquoted [a-z] argument as a matching shell glob for this name, rather than interpretation as the literal [a-z] regular-expression string, and consequently blocks the launch of the PHP interpreter within the Apache HTTP Server. Conflicto de interpretación en PHP Toolkit antes de 1.0.1 en Gentoo Linux podría permitir a usuarios locales provocar una denegación de servicio (Parada PHP) y leer contenidos de secuencias de comandos PHP creando un archivo con un nombre de una letra del alfabeto en minúsculas, lo que dispara la interpretación de cierto argumento [a-z] no entrecomillado como un intérprete de comandos glob coincidente para este nombre, mejor que una interpretación como la cadena de expresión regular [a-z] literal y consecuentemente bloquea el lanzamiento del intérprete PHP del Servidor Apache HTTP. • http://bugs.gentoo.org/show_bug.cgi?id=209535 http://security.gentoo.org/glsa/glsa-200804-19.xml http://www.securityfocus.com/bid/28844 https://exchange.xforce.ibmcloud.com/vulnerabilities/41928 • CWE-20: Improper Input Validation •
CVE-2008-1290
https://notcve.org/view.php?id=CVE-2008-1290
ViewVC before 1.0.5 includes "all-forbidden" files within search results that list CVS or Subversion (SVN) commits, which allows remote attackers to obtain sensitive information. ViewVC antes de 1.0.5 incluye archivos "all-forbidden" (todo prohibido) dentro de resultados de búsqueda que listan asignaciones CVS o Subversion (SVN), lo que permite a atacantes remotos obtener información sensible. • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=471380 http://bugs.gentoo.org/show_bug.cgi?id=212288 http://secunia.com/advisories/29176 http://secunia.com/advisories/29460 http://security.gentoo.org/glsa/glsa-200803-29.xml http://viewvc.tigris.org/source/browse/viewvc/trunk/CHANGES?rev=HEAD http://www.securityfocus.com/bid/28055 http://www.vupen.com/english/advisories/2008/0734/references • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2008-1291
https://notcve.org/view.php?id=CVE-2008-1291
ViewVC before 1.0.5 stores sensitive information under the web root with insufficient access control, which allows remote attackers to read files and list folders under the hidden CVSROOT folder. ViewVC before 1.0.5 almacena información sensible bajo la raíz web con un control de acceso insuficiente, lo que permite a atacantes remotos leer archivos y listar carpetas bajo la carpeta oculta CVSROOT. • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=471380 http://bugs.gentoo.org/show_bug.cgi?id=212288 http://secunia.com/advisories/29176 http://secunia.com/advisories/29460 http://security.gentoo.org/glsa/glsa-200803-29.xml http://viewvc.tigris.org/source/browse/viewvc/trunk/CHANGES?rev=HEAD http://www.securityfocus.com/bid/28055 http://www.vupen.com/english/advisories/2008/0734/references • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2008-1292
https://notcve.org/view.php?id=CVE-2008-1292
ViewVC before 1.0.5 provides revision metadata without properly checking whether access was intended, which allows remote attackers to obtain sensitive information by reading (1) forbidden pathnames in the revision view, (2) log history that can only be reached by traversing a forbidden object, or (3) forbidden diff view path parameters. ViewVC before 1.0.5 proporciona revisión de metadatos sin comprobar correctamente si el acceso fue intencionado, lo que permite a atacantes remotos obtener información sensible leyendo (1) rutas prohibidas en la vista de revisión, (2)el historial del log que sólo se puede alcanzar saltando un objeto prohibido, o (3)parámetros de ruta de vista diff prohibidos. • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=471380 http://bugs.gentoo.org/show_bug.cgi?id=212288 http://secunia.com/advisories/29176 http://secunia.com/advisories/29460 http://security.gentoo.org/glsa/glsa-200803-29.xml http://viewvc.tigris.org/source/browse/viewvc/trunk/CHANGES?rev=HEAD http://www.securityfocus.com/bid/28055 http://www.vupen.com/english/advisories/2008/0734/references • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2008-1383
https://notcve.org/view.php?id=CVE-2008-1383
The docert function in ssl-cert.eclass, when used by src_compile or src_install on Gentoo Linux, stores the SSL key in a binpkg, which allows local users to extract the key from the binpkg, and causes multiple systems that use this binpkg to have the same SSL key and certificate. La función docert en el archivo ssl-cert.eclass, cuando es usada por src_compile o src_install en Gentoo Linux, almacena la clave SSL en un binpkg, lo que permite a los usuarios locales extraer la clave del binpkg, y causar que múltiples sistemas que utilizan este binpkg tengan la misma clave SSL y certificado. • http://osvdb.org/43479 http://secunia.com/advisories/29436 http://security.gentoo.org/glsa/glsa-200803-30.xml http://www.securityfocus.com/bid/28350 https://bugs.gentoo.org/show_bug.cgi?id=174759 https://exchange.xforce.ibmcloud.com/vulnerabilities/41336 • CWE-310: Cryptographic Issues •