CVSS: 7.6EPSS: 0%CPEs: 24EXPL: 0CVE-2012-3292
https://notcve.org/view.php?id=CVE-2012-3292
The GridFTP in Globus Toolkit (GT) before 5.2.2, when certain autoconf macros are defined, does not properly check the return value from the getpwnam_r function, which might allow remote attackers to gain privileges by logging in with a user that does not exist, which causes GridFTP to run as the last user in the password file. GridFTP en Globus Toolkit (GT) antes de v5.2.2, cuando ciertas macros de autoconf se definen, no comprueba correctamente el valor devuelto por la función getpwnam_r, lo que podría permitir a atacantes remotos obtener privilegios iniciando sesión con un usuario que no existe , lo que provoca que GridFTP se ejecute como último usuario del archivo de contraseñas. • http://jira.globus.org/browse/GT-195 http://lists.fedoraproject.org/pipermail/package-announce/2012-June/081787.html http://lists.fedoraproject.org/pipermail/package-announce/2012-June/081791.html http://lists.fedoraproject.org/pipermail/package-announce/2012-June/081797.html http://www.debian.org/security/2012/dsa-2523 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2011-0738
https://notcve.org/view.php?id=CVE-2011-0738
MyProxy 5.0 through 5.2, as used in Globus Toolkit 5.0.0 through 5.0.2, does not properly verify the (1) hostname or (2) identity in the X.509 certificate for the myproxy-server, which allows remote attackers to spoof the server and conduct man-in-the-middle (MITM) attacks via a crafted certificate when executing (a) myproxy-logon or (b) myproxy-get-delegation. MyProxy v5.0 hasta v5.2, tal como se utiliza en Globus Toolkit v5.0.0 hasta v5.0.2, no comprueba correctamente (1) el nombre de host o (2) la identidad en el certificado X.509 para el myproxy-servidor, lo que permite a atacantes remotos suplantar el servidor y llevar a cabo ataques man-in-the-middle (MITM) a través de certificados manipulados cuando se ejecuta (a) myproxy-logon o (b) myproxy-get-delegation. • http://grid.ncsa.illinois.edu/myproxy/security/myproxy-adv-2011-01.txt http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053461.html http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053473.html http://lists.globus.org/pipermail/security-announce/2011-January/000018.html http://osvdb.org/70494 http://secunia.com/advisories/42972 http://secunia.com/advisories/43103 http://www.securityfocus.com/bid/45916 http://www.vupen.com/english/advisories/2011/022 • CWE-20: Improper Input Validation •
CVSS: 7.8EPSS: 4%CPEs: 1EXPL: 0CVE-2007-2784
https://notcve.org/view.php?id=CVE-2007-2784
Unspecified vulnerability in globus-job-manager in Globus Toolkit 4.1.1 and earlier (globus_nexus-6.6 and earlier) allows remote attackers to cause a denial of service (resource exhaustion and system crash) via certain requests to temporary TCP ports for a GRAM2 job or its MPICH-G2 applications. Vulnerabilidad no especificada en globus-job-manager en Globus Toolkit 4.1.1 y anteriores (globus_nexus-6.6 y anteriores) permite a atacantes remotos provocar denegación de servicio (consumo de recursos y caida de sistema) a través de ciertas respuestas en los puertos TCP temporales para una tarea GARM2 o sus aplicaciones MPICH-G2. • http://bugzilla.globus.org/globus/show_bug.cgi?id=5297 http://osvdb.org/36094 http://secunia.com/advisories/25323 http://www.globus.org/mail_archive/security-announce/2007/05/msg00000.html http://www.globus.org/toolkit/advisories.html http://www.securityfocus.com/bid/24051 https://exchange.xforce.ibmcloud.com/vulnerabilities/34374 •
CVSS: 3.6EPSS: 0%CPEs: 3EXPL: 1CVE-2006-4233
https://notcve.org/view.php?id=CVE-2006-4233
Globus Toolkit 3.2.x, 4.0.x, and 4.1.0 before 20060815 allow local users to obtain sensitive information (proxy certificates) and overwrite arbitrary files via a symlink attack on temporary files in the /tmp directory, as demonstrated by files created by (1) myproxy-admin-adduser, (2) grid-ca-sign, and (3) grid-security-config. Globus Toolkit 3.2.x, 4.0.x, and 4.1.0 anterior al 15/08/2006 permite a usuarios locales obtener información sensible (certificados del proxy) y sobrescribir archivos de su elección mediante un ataque de enlace simbólico en archivos temporales en el directorio /tmp, como ha sido demostrado con archivos creados por (1) myproxy-admin-adduser, (2) grid-ca-sign, y (3) grid-security-config. • http://secunia.com/advisories/21516 http://www.globus.org/mail_archive/security-announce/2006/08/msg00001.html http://www.securityfocus.com/bid/19549 http://www.vupen.com/english/advisories/2006/3290 https://exchange.xforce.ibmcloud.com/vulnerabilities/28410 •
CVSS: 1.2EPSS: 0%CPEs: 3EXPL: 0CVE-2006-4232
https://notcve.org/view.php?id=CVE-2006-4232
Race condition in the grid-proxy-init tool in Globus Toolkit 3.2.x, 4.0.x, and 4.1.0 before 20060815 allows local users to steal credential data by replacing the proxy credentials file in between file creation and the check for exclusive file access. Condición de carrera en la herramienta grid-proxy-init en Globus Toolkit 3.2.x, 4.0.2, y 4.1.0 anterior al 15/08/2006 permite a usuarios locales robar información de credenciales reemplazando el archivo de credenciales del proxy entre la creación del archivo y la comprobación de acceso exclusivo al archivo. • http://secunia.com/advisories/21516 http://www.globus.org/mail_archive/security-announce/2006/08/msg00000.html http://www.securityfocus.com/bid/19549 http://www.vupen.com/english/advisories/2006/3290 https://exchange.xforce.ibmcloud.com/vulnerabilities/28408 •