CVSS: 5.5EPSS: 0%CPEs: 4EXPL: 0CVE-2019-9705
https://notcve.org/view.php?id=CVE-2019-9705
Vixie Cron before the 3.0pl1-133 Debian package allows local users to cause a denial of service (memory consumption) via a large crontab file because an unlimited number of lines is accepted. Vixie Cron, en versiones anteriores a la 3.0pl1-133 en el paquete Debian, permite a los usuarios locales provocar una denegación de servicio (consumo de memoria) debido a un número de líneas ilimitado. • http://www.securityfocus.com/bid/107378 https://lists.debian.org/debian-lts-announce/2019/03/msg00025.html https://lists.debian.org/debian-lts-announce/2021/10/msg00029.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6DU7HAUAQR4E4AEBPYLUV6FZ4PHKH6A2 https://salsa.debian.org/debian/cron/commit/26814a26 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 5.5EPSS: 0%CPEs: 4EXPL: 0CVE-2019-9704
https://notcve.org/view.php?id=CVE-2019-9704
Vixie Cron before the 3.0pl1-133 Debian package allows local users to cause a denial of service (daemon crash) via a large crontab file because the calloc return value is not checked. Vixie Cron, en versiones anteriores a la 3.0pl1-133 en el paquete Debian, permite a los usuarios locales provocar una denegación de servicio (cierre de demonio) mediante un archivo crontab largo debido a que el valor de retorno no se comprueba. • http://www.securityfocus.com/bid/107373 https://lists.debian.org/debian-lts-announce/2019/03/msg00025.html https://lists.debian.org/debian-lts-announce/2021/10/msg00029.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6DU7HAUAQR4E4AEBPYLUV6FZ4PHKH6A2 https://salsa.debian.org/debian/cron/commit/f2525567 • CWE-252: Unchecked Return Value CWE-476: NULL Pointer Dereference •
CVSS: 6.9EPSS: 0%CPEs: 5EXPL: 0CVE-2017-9525
https://notcve.org/view.php?id=CVE-2017-9525
In the cron package through 3.0pl1-128 on Debian, and through 3.0pl1-128ubuntu2 on Ubuntu, the postinst maintainer script allows for group-crontab-to-root privilege escalation via symlink attacks against unsafe usage of the chown and chmod programs. En el paquete cron hasta la versión 3.0pl1-128 en Debian, y hasta la versión 3.0pl1-128ubuntu2 en Ubuntu, el script de mantenimiento postinst permite la escalada de privilegios de grupo-crontab a root por medio de ataques de enlace simbólico (symlink) contra el uso no seguro de los programas chown y chmod. • http://bugs.debian.org/864466 http://www.openwall.com/lists/oss-security/2017/06/08/3 http://www.securitytracker.com/id/1038651 https://lists.debian.org/debian-lts-announce/2019/03/msg00025.html https://lists.debian.org/debian-lts-announce/2021/10/msg00029.html • CWE-59: Improper Link Resolution Before File Access ('Link Following') •