7 results (0.021 seconds)

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0

In Gentoo Portage before 3.0.47, there is missing PGP validation of executed code: the standalone emerge-webrsync downloads a .gpgsig file but does not perform signature verification. Unless emerge-webrsync is used, Portage is not vulnerable. En Gentoo Portage anterior a 3.0.47, falta la validación PGP del código ejecutado: el emerge-webrsync independiente descarga un archivo .gpgsig pero no realiza la verificación de firma. • https://bugs.gentoo.org/597800 https://gitweb.gentoo.org/proj/portage.git/tree/NEWS https://wiki.gentoo.org/wiki/Portage • CWE-347: Improper Verification of Cryptographic Signature •

CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 2

Gentoo Portage through 2.3.84 allows local users to place a Trojan horse plugin in the /usr/lib64/nagios/plugins directory by leveraging access to the nagios user account, because this directory is writable in between a call to emake and a call to fowners. Gentoo Portage versiones hasta 2.3.84, permite a usuarios locales colocar un complemento de tipo caballo de Troya en el directorio /usr/lib64/nagios/plugins al aprovechar el acceso a la cuenta de usuario nagios, porque este directorio es escribible entre una llamada a emake y una llamada a Fowners. • http://www.openwall.com/lists/oss-security/2020/01/21/1 https://bugs.gentoo.org/692492 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •

CVSS: 7.1EPSS: 0%CPEs: 1EXPL: 0

Ebuild in Gentoo may change directory and file permissions depending on the order of installed packages, which allows local users to read or write to restricted directories or execute restricted commands via navigating to the affected directories, or executing the affected commands. Ebuild en Gentoo puede cambiar los permisos de directorios y archivos en función del orden de los paquetes instalados, lo que permite a usuarios locales leer o escribir en directorios restringidos o ejecutar comandos restringidos mediante la navegación a directorios afectados o la ejecución de comandos afectados. • http://www.openwall.com/lists/oss-security/2017/01/28/7 https://bugs.gentoo.org/show_bug.cgi?id=141619 https://bugs.gentoo.org/show_bug.cgi?id=396153 https://bugs.gentoo.org/show_bug.cgi?id=58611 https://bugs.gentoo.org/show_bug.cgi?id=607426 https://bugs.gentoo.org/show_bug.cgi? • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 1

The urlopen function in pym/portage/util/_urlopen.py in Gentoo Portage 2.1.12, when using HTTPS, does not verify X.509 certificates from SSL servers, which allows man-in-the-middle attackers to spoof servers and modify binary package lists via a crafted certificate. La función urlopen en pym/portage/util/_urlopen.py en Gentoo Portage 2.1.12, cuando utiliza HTTPS, no verifica los certificados X.509 de los servidores SSL, lo que permite a atacantes man-in-the-middle falsificar servidores y modificar listas de paquetes binarios a través de un certificado manipulado. • http://openwall.com/lists/oss-security/2013/05/15/5 http://openwall.com/lists/oss-security/2013/05/16/3 http://www.securityfocus.com/bid/59878 https://bugs.gentoo.org/show_bug.cgi?id=469888 https://exchange.xforce.ibmcloud.com/vulnerabilities/84315 https://security.gentoo.org/glsa/201507-16 • CWE-310: Cryptographic Issues •

CVSS: 6.9EPSS: 0%CPEs: 5EXPL: 0

Multiple untrusted search path vulnerabilities in Portage before 2.1.4.5 include the current working directory in the Python search path, which allows local users to execute arbitrary code via a modified Python module that is loaded by the (1) ys-apps/portage, (2) net-mail/fetchmail, (3) app-editors/leo ebuilds, and other ebuilds. Múltiples vulnerabilidades de búsqueda en ruta no confiable en Portage en versiones anteriores a la v2.1.4.5 incluido el directorio actual de trabajo que permite a usuarios locales ejecutar código de su elección a traves de un modulo modificado de Python que se carga a traves de (1) ys-apps/portage, (2) net-mail/fetchmail, (3) app-editors/leo ebuilds y otros ebuilds • http://secunia.com/advisories/32228 http://security.gentoo.org/glsa/glsa-200810-02.xml http://www.securityfocus.com/bid/31670 https://exchange.xforce.ibmcloud.com/vulnerabilities/45792 •