NVD脆弱性詳細

CVE-2012-3360

概要	Directory traversal vulnerability in virt/disk/api.py in OpenStack Compute (Nova) Folsom (2012.2) and Essex (2012.1), when used over libvirt-based hypervisors, allows remote authenticated users to write arbitrary files to the disk image via a .. (dot dot) in the path attribute of a file element.
公表日	2012年7月23日1:55
登録日	2021年1月28日15:00
最終更新日	2024年11月21日10:40

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://lists.fedoraproject.org/pipermail/package-announce/2012-July/083984.html
2	http://lists.fedoraproject.org/pipermail/package-announce/2012-July/083984.html
3	http://secunia.com/advisories/49763	Vendor Advisory
4	http://secunia.com/advisories/49763	Vendor Advisory
5	http://secunia.com/advisories/49802	Vendor Advisory
6	http://secunia.com/advisories/49802	Vendor Advisory
7	http://www.securityfocus.com/bid/54277
8	http://www.securityfocus.com/bid/54277
9	http://www.ubuntu.com/usn/USN-1497-1
10	http://www.ubuntu.com/usn/USN-1497-1
11	https://bugs.launchpad.net/nova/+bug/1015531
12	https://bugs.launchpad.net/nova/+bug/1015531
13	https://github.com/openstack/nova/commit/2427d4a99bed35baefd8f17ba422cb7aae8dcca7
14	https://github.com/openstack/nova/commit/2427d4a99bed35baefd8f17ba422cb7aae8dcca7
15	https://github.com/openstack/nova/commit/b0feaffdb2b1c51182b8dce41b367f3449af5dd9	Exploit Patch
16	https://github.com/openstack/nova/commit/b0feaffdb2b1c51182b8dce41b367f3449af5dd9	Exploit Patch
17	https://lists.launchpad.net/openstack/msg14089.html
18	https://lists.launchpad.net/openstack/msg14089.html

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html

JVN脆弱性情報

OpenStack Compute (Nova) Folsom および Essex におけるディレクトリトラバーサルの脆弱性

タイトル	OpenStack Compute (Nova) Folsom および Essex におけるディレクトリトラバーサルの脆弱性
概要	OpenStack Compute (Nova) Folsom (2012.2) および Essex (2012.1) の virt/disk/api.py には、libvirt ベースのハイパーバイザー上で使用される場合、ディレクトリトラバーサルの脆弱性が存在します。
想定される影響	リモート認証されたユーザにより、.. (ドットドット) を含むファイル要素の path 属性を介して、任意のファイルをディスクイメージに書き込まれる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年6月20日0:00
登録日	2012年7月24日16:37
最終更新日	2012年9月4日17:49

影響を受けるシステム

OpenStack

OpenStack Compute Nova Folsom (2012.2)

OpenStack Essex (2012.1)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-3360	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3360
National Vulnerability Database (NVD)
2	CVE-2012-3360	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-3360

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	名前	URL
Fedora Update Notification
1	FEDORA-2012-10420	http://lists.fedoraproject.org/pipermail/package-announce/2012-July/083984.html
GitHub
2	Prevent file injection writing to host filesystem - 2427d4a	https://github.com/openstack/nova/commit/2427d4a99bed35baefd8f17ba422cb7aae8dcca7
3	Prevent file injection writing to host filesystem - b0feaff	https://github.com/openstack/nova/commit/b0feaffdb2b1c51182b8dce41b367f3449af5dd9
Launchpad
4	Remote arbitrary file corruption / creation flaw via injected files	https://bugs.launchpad.net/nova/+bug/1015531
Ubuntu Security Notice
5	USN-1497-1	http://www.ubuntu.com/usn/USN-1497-1/

変更履歴

No	変更内容	変更日
0	[2012年07月24日] 掲載 [2012年09月04日] ベンダ情報：Fedora Project (FEDORA-2012-10420) を追加	2018年2月17日10:37