| Title | libvirt における任意のファイルを読まれる脆弱性 |
|---|---|
| Summary | libvirt には、ファイングレインアクセス制御が有効になっている場合、任意のファイルを読まれる脆弱性が存在します。 本件は、XML 外部エンティティ (XXE) の問題に関する脆弱性です。 本脆弱性は、影響を受けるバージョンが異なるため、CVE-2014-0179 から分割されました。 |
| Possible impacts | ローカルユーザにより、以下の API メソッドのエンティティ参照に関連する XML 外部エンティティ宣言を含む、巧妙に細工された XML 文書を介して、任意のファイルを読まれる可能性があります。 (1) virDomainDefineXML (2) virNetworkCreateXML (3) virNetworkDefineXML (4) virStoragePoolCreateXML (5) virStoragePoolDefineXML (6) virStorageVolCreateXML (7) virDomainCreateXML (8) virNodeDeviceCreateXML (9) virInterfaceDefineXML (10) virStorageVolCreateXMLFrom (11) virConnectDomainXMLFromNative (12) virConnectDomainXMLToNative (13) virSecretDefineXML (14) virNWFilterDefineXML (15) virDomainSnapshotCreateXML (16) virDomainSaveImageDefineXML (17) virDomainCreateXMLWithFiles (18) virConnectCompareCPU (19) virConnectBaselineCPU |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 6, 2014, midnight |
| Registration Date | Aug. 5, 2014, 4:31 p.m. |
| Last Update | Aug. 5, 2014, 4:31 p.m. |
| CVSS2.0 : 注意 | |
| Score | 1.2 |
|---|---|
| Vector | AV:L/AC:H/Au:N/C:P/I:N/A:N |
| レッドハット |
| libvirt 1.2.5 未満の 1.0.0 から 1.2.x |
| Red Hat Enterprise Linux 6 |
| Red Hat Enterprise Linux Desktop 6 |
| Red Hat Enterprise Linux HPC Node 6 |
| Red Hat Enterprise Linux Server 6 |
| Red Hat Enterprise Linux Server AUS 6.5 |
| Red Hat Enterprise Linux Server EUS 6.5.z |
| Red Hat Enterprise Linux Workstation 6 |
| Red Hat Enterprise Virtualization 3 |
| Novell |
| openSUSE 12.3 |
| openSUSE 13.1 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年08月05日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | libvirt 1.0.0 through 1.2.x before 1.2.5, when fine grained access control is enabled, allows local users to read arbitrary files via a crafted XML document containing an XML external entity declaration in conjunction with an entity reference to the (1) virDomainDefineXML, (2) virNetworkCreateXML, (3) virNetworkDefineXML, (4) virStoragePoolCreateXML, (5) virStoragePoolDefineXML, (6) virStorageVolCreateXML, (7) virDomainCreateXML, (8) virNodeDeviceCreateXML, (9) virInterfaceDefineXML, (10) virStorageVolCreateXMLFrom, (11) virConnectDomainXMLFromNative, (12) virConnectDomainXMLToNative, (13) virSecretDefineXML, (14) virNWFilterDefineXML, (15) virDomainSnapshotCreateXML, (16) virDomainSaveImageDefineXML, (17) virDomainCreateXMLWithFiles, (18) virConnectCompareCPU, or (19) virConnectBaselineCPU API method, related to an XML External Entity (XXE) issue. NOTE: this issue was SPLIT from CVE-2014-0179 per ADT3 due to different affected versions of some vectors. |
|---|---|
| Publication Date | Aug. 4, 2014, 3:55 a.m. |
| Registration Date | Jan. 26, 2021, 3:14 p.m. |
| Last Update | Nov. 21, 2024, 11:11 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:opensuse:opensuse:12.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:enterprise_virtualization:3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:redhat:libvirt:1.0.5.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.0.5.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.2.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.0.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.0.5.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.0.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.1.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.0.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.2.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.0.5.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.0.5.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.0.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.0.5.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:libvirt:1.1.3:*:*:*:*:*:*:* | |||||