製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の OpenStack コンポーネントにおけるサービス運用妨害 (DoS) の脆弱性

Title	複数の OpenStack コンポーネントにおけるサービス運用妨害 (DoS) の脆弱性
Summary	OpenStack Keystone の Essex、Folsom、Grizzly および Compute (Nova) の Essex、Folsom および Cinder の Folsom には、サービス運用妨害 (リソース消費およびクラッシュ) 状態にされる脆弱性が存在します。
Possible impacts	第三者により、XML Entity Expansion (XEE) 攻撃を実行されることで、サービス運用妨害 (リソース消費およびクラッシュ) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Feb. 19, 2013, midnight
Registration Date	April 4, 2013, 4:01 p.m.
Last Update	May 21, 2013, 12:23 p.m.

Affected System

OpenStack

OpenStack Cinder Folsom

OpenStack Compute Nova Essex および Folsom

Openstack Keystone Essex、Folsom および Grizzly

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-1664	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1664
National Vulnerability Database (NVD)
2	CVE-2013-1664	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1664

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	Name	URL
Launchpad
1	Bug #1100282	https://bugs.launchpad.net/nova/+bug/1100282
OpenStack Security Advisories
2	[OSSA 2013-004] Information leak and Denial of Service using XML entities (CVE-2013-1664, CVE-2013-1665)	http://lists.openstack.org/pipermail/openstack-announce/2013-February/000078.html
Python
3	Announcing defusedxml, Fixes for XML Security Issues	http://blog.python.org/2013/02/announcing-defusedxml-fixes-for-xml.html
4	Issue17239	http://bugs.python.org/issue17239
Red Hat Security Advisory
5	RHSA-2013:0657	http://rhn.redhat.com/errata/RHSA-2013-0657.html
6	RHSA-2013:0658	http://rhn.redhat.com/errata/RHSA-2013-0658.html
7	RHSA-2013:0670	http://rhn.redhat.com/errata/RHSA-2013-0670.html
Ubuntu Security Notice
8	USN-1757-1	http://ubuntu.com/usn/usn-1757-1

Change Log

No	Changed Details	Date of change
0	[2013年04月04日] 掲載 [2013年04月23日] ベンダ情報：レッドハット (RHSA-2013:0658) を追加ベンダ情報：レッドハット (RHSA-2013:0657) を追加 [2013年05月09日] ベンダ情報：Ubuntu (USN-1757-1) を追加ベンダ情報：Python Software Foundation (Issue17239) を追加ベンダ情報：Python Software Foundation (Announcing defusedxml, Fixes for XML Security Issues) を追加 [2013年05月21日] ベンダ情報：レッドハット (RHSA-2013:0670) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-1664

Summary	The XML libraries for Python 3.4, 3.3, 3.2, 3.1, 2.7, and 2.6, as used in OpenStack Keystone Essex, Folsom, and Grizzly; Compute (Nova) Essex and Folsom; Cinder Folsom; Django; and possibly other products allow remote attackers to cause a denial of service (resource consumption and crash) via an XML Entity Expansion (XEE) attack.
Publication Date	April 3, 2013, 9:55 a.m.
Registration Date	Jan. 26, 2021, 3:36 p.m.
Last Update	Nov. 21, 2024, 10:50 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:openstack:cinder_folsom:-:::::::*
cpe:2.3:a:openstack:keystone_essex:-:::::::*
cpe:2.3:a:openstack:grizzly:-:::::::*
cpe:2.3:a:openstack:folsom:-:::::::*
cpe:2.3:a:openstack:compute_\(nova\)_essex:-:::::::*
cpe:2.3:a:openstack:compute_\(nova\)_folsom:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://blog.python.org/2013/02/announcing-defusedxml-fixes-for-xml.html
2	http://blog.python.org/2013/02/announcing-defusedxml-fixes-for-xml.html
3	http://bugs.python.org/issue17239
4	http://bugs.python.org/issue17239
5	http://lists.openstack.org/pipermail/openstack-announce/2013-February/000078.html	Vendor Advisory
6	http://lists.openstack.org/pipermail/openstack-announce/2013-February/000078.html	Vendor Advisory
7	http://rhn.redhat.com/errata/RHSA-2013-0657.html
8	http://rhn.redhat.com/errata/RHSA-2013-0657.html
9	http://rhn.redhat.com/errata/RHSA-2013-0658.html
10	http://rhn.redhat.com/errata/RHSA-2013-0658.html
11	http://rhn.redhat.com/errata/RHSA-2013-0670.html
12	http://rhn.redhat.com/errata/RHSA-2013-0670.html
13	http://ubuntu.com/usn/usn-1757-1
14	http://ubuntu.com/usn/usn-1757-1
15	http://www.openwall.com/lists/oss-security/2013/02/19/2
16	http://www.openwall.com/lists/oss-security/2013/02/19/2
17	http://www.openwall.com/lists/oss-security/2013/02/19/4
18	http://www.openwall.com/lists/oss-security/2013/02/19/4
19	https://bugs.launchpad.net/nova/+bug/1100282	Exploit
20	https://bugs.launchpad.net/nova/+bug/1100282	Exploit

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:openstack:cinder_folsom:-:::::::*
cpe:2.3:a:openstack:keystone_essex:-:::::::*
cpe:2.3:a:openstack:grizzly:-:::::::*
cpe:2.3:a:openstack:folsom:-:::::::*
cpe:2.3:a:openstack:compute_\(nova\)_essex:-:::::::*
cpe:2.3:a:openstack:compute_\(nova\)_folsom:-:::::::*