Vulnerabilidades

Dell PowerScale OneFS, versiones 8.2.2-9.3.x, contienen una vulnerabilidad de tiempo de comprobación a tiempo de uso. Un usuario local con acceso al sistema de archivos podría explotar esta vulnerabilidad, conllevando a una pérdida de datos

Git para Windows es un fork de Git que contiene parches específicos para Windows. Esta vulnerabilidad afecta a usuarios que trabajan en máquinas multiusuario, donde partes no confiables presentan acceso de escritura al mismo disco duro. Estas partes no confiables podrían crear la carpeta "C:\.git", que sería recogida por las operaciones de Git ejecutadas supuestamente fuera de un repositorio mientras es buscado un directorio Git. Git respetaría entonces cualquier configuración en dicho directorio Git. Los usuarios de Git Bash que configuren "GIT_PS1_SHOWDIRTYSTATE" también son vulnerables. Los usuarios que hayan instalado posh-git son vulnerables simplemente al iniciar un PowerShell. Los usuarios de IDEs como Visual Studio son vulnerables: la simple creación de un nuevo proyecto ya leería y respetaría la configuración especificada en "C:\.git\config". Los usuarios del fork de Microsoft de Git son vulnerables simplemente al iniciar un Git Bash. El problema ha sido parcheado en Git para Windows versión v2.35.2. Los usuarios que no puedan actualizarse pueden crear la carpeta ".git" en todas las unidades en las que sean ejecutados comandos de Git, y eliminar el acceso de lectura/escritura de esas carpetas como medida de mitigación. Como alternativa, defina o amplíe "GIT_CEILING_DIRECTORIES" para que cubra el directorio _parent_ del perfil de usuario, por ejemplo, "C:\Users" si el perfil de usuario es encontrado en "C:\Users\my-user-name"

Las versiones 8.2.x - 9.3.0.x de Dell PowerScale OneFS contienen una vulnerabilidad de denegación de servicio en SmartConnect. Un atacante de red sin privilegios puede explotar potencialmente esta vulnerabilidad, llevando a la denegación de servicio

La función mod_dav_svn de Subversion es vulnerable a una corrupción de memoria. Mientras buscan reglas de autorización basadas en rutas, los servidores mod_dav_svn pueden intentar usar memoria que ya ha sido liberada. Afecta a los servidores mod_dav_svn de Subversion 1.10.0 a 1.14.1 (inclusive). Los servidores que no usan mod_dav_svn no están afectados

GitHub: El desinstalador de Git para Windows es vulnerable al secuestro de DLL cuando se ejecuta bajo la cuenta de usuario SYSTEM

MinIO es un almacenamiento de objetos de alto rendimiento publicado bajo la Licencia Pública General Affero versión v3.0 de GNU. Se ha encontrado un problema de seguridad en el que un usuario no administrador es capaz de crear cuentas de servicio para el usuario root u otros usuarios administradores y luego es capaz de asumir sus políticas de acceso por medio de las credenciales generadas. Esto, a su vez, permite al usuario escalar sus privilegios a los del usuario root. Esta vulnerabilidad ha sido resuelta en el pull request #14729 y es incluida en 'RELEASE.2022-04-12T06-55-35Z". Los usuarios que no puedan actualizar pueden mitigar este problema al añadir explícitamente una política de denegación "admin:CreateServiceAccount", pero esto, a su vez, deniega al usuario la capacidad de crear sus propias cuentas de servicio

Dell PowerScale OneFS, versiones 8.2.2 y superiores, contienen una vulnerabilidad de divulgación de contraseñas. Un atacante local no privilegiado podría explotar esta vulnerabilidad, conllevando a una toma de la cuenta

Dell PowerScale OneFS, versión 9.3.0, contiene un uso de un algoritmo criptográfico roto o arriesgado. Un atacante de red no privilegiado podría explotar esta vulnerabilidad, conllevando a una posibilidad de revelar información

Dell EMC PowerScale OneFS 8.1.x - 9.1.x contienen credenciales embebidas. Esto permite a un usuario local con conocimiento de las credenciales iniciar sesión como usuario administrador en el conmutador ethernet backend de un clúster PowerScale. El atacante puede aprovechar esta vulnerabilidad para desconectar el conmutador

Dell PowerScale OneFS, versiones 8.2.x-9.3.0.x, contienen una restricción inapropiada de intentos de autenticación excesivos. Un atacante remoto no autenticado podría explotar esta vulnerabilidad, conllevando a cuentas comprometidas

Dell PowerScale OneFS, versiones 8.2.0-9.3.0, contienen una explotación de manejo inapropiado de valores perdidos. Un atacante de red no autenticado podría explotar esta vulnerabilidad de denegación de servicio

Dell PowerScale OneFS, versiones 9.0.0-9.3.0, contienen una autorización inapropiada de índice que contiene información confidencial. Un usuario autenticado y con privilegios podría explotar esta vulnerabilidad, conllevando a una divulgación o modificación de datos confidenciales