NVD脆弱性詳細

CVE-2014-1439

概要	The libxml_disable_entity_loader function in runtime/ext/ext_simplexml.cpp in HipHop Virtual Machine for PHP (HHVM) before 2.4.0 and 2.3.x before 2.3.3 does not properly disable a certain libxml handler, which allows remote attackers to conduct XML External Entity (XXE) attacks.
公表日	2014年2月6日4:55
登録日	2021年1月26日15:06
最終更新日	2024年11月21日11:04

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.1.0:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.0.0:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.0.1:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.3.1:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.2.0:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.0.2:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.3.0:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php::::::::		2.3.2

関連情報、対策とツール

No	URL	タグ
1	http://www.hhvm.com/blog/3287/hhvm-2-4-0	Vendor Advisory
2	http://www.hhvm.com/blog/3287/hhvm-2-4-0	Vendor Advisory
3	https://exchange.xforce.ibmcloud.com/vulnerabilities/90979
4	https://exchange.xforce.ibmcloud.com/vulnerabilities/90979
5	https://github.com/facebook/hhvm/commit/95f96e7287effe2fcdfb9a5338d1a7e4f55b083b
6	https://github.com/facebook/hhvm/commit/95f96e7287effe2fcdfb9a5338d1a7e4f55b083b

共通脆弱性一覧

JVN脆弱性情報

HipHop Virtual Machine for PHP における XML 外部エンティティ (XXE) 攻撃を実行される脆弱性

タイトル	HipHop Virtual Machine for PHP における XML 外部エンティティ (XXE) 攻撃を実行される脆弱性
概要	HipHop Virtual Machine for PHP (HHVM) の runtime/ext/ext_simplexml.cpp 内の libxml_disable_entity_loader 関数は、特定の libxml ハンドラを適切に無効にしないため、XML 外部エンティティ (XXE) 攻撃を実行される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-611: Improper Restriction of XML External Entity Reference ('XXE') (XML 外部エンティティ参照の不適切な制限) と識別されています。 http://cwe.mitre.org/data/definitions/611.html
想定される影響	第三者により、XML 外部エンティティ (XXE) 攻撃を実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2014年2月1日0:00
登録日	2014年2月7日18:22
最終更新日	2014年2月7日18:22

影響を受けるシステム

Facebook

HipHop Virtual Machine (HHVM) 2.3.3 未満の 2.3.x

HipHop Virtual Machine (HHVM) 2.4.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-1439	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1439
National Vulnerability Database (NVD)
2	CVE-2014-1439	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1439

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Facebook
1	HHVM 2.4.0	http://www.hhvm.com/blog/3287/hhvm-2-4-0
GitHub
2	Fix libxml_disable_entity_loader()	https://github.com/facebook/hhvm/commit/95f96e7287effe2fcdfb9a5338d1a7e4f55b083b

変更履歴

No	変更内容	変更日
0	[2014年02月07日] 掲載	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.1.0:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.0.0:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.0.1:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.3.1:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.2.0:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.0.2:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php:2.3.0:::::::*
cpe:2.3:a:hiphop_virtual_machine_for_php_project:hiphop_virtual_machine_for_php::::::::		2.3.2