OSSA-2013-004：使用 XML 实体导致的信息泄露和拒绝服务

日期:

2013年2月19日

CVE:

CVE-2013-1664, CVE-2013-1665

影响

• Keystone：所有版本

• Nova：所有版本

• Cinder：所有版本

描述

NCC Group 的 Jonathan Murray、Yahoo! 的 Joshua Harlow 和 Stuart Stent 独立报告了 Keystone、Nova 和 Cinder 中使用的 Python XML 库中 XML 请求解析中的漏洞。通过在 XML 请求中使用实体，未经身份验证的攻击者可能会消耗 Keystone、Nova 或 Cinder API 服务器上的大量资源，导致拒绝服务并可能导致崩溃 (CVE-2013-1664)。经过身份验证的攻击者也可能利用 XML 实体读取 Keystone API 服务器上本地文件的内容 (CVE-2013-1665)。这仅影响启用了 XML 支持的服务器。

补丁

• https://review.openstack.org/#/c/22313 (Essex)

• https://review.openstack.org/#/c/22316 (Essex)

• https://review.openstack.org/#/c/22312 (Folsom)

• https://review.openstack.org/#/c/22311 (Folsom)

• https://review.openstack.org/#/c/22314 (Folsom)

• https://review.openstack.org/#/c/22309 (Grizzly)

• https://review.openstack.org/#/c/22310 (Grizzly)

• https://review.openstack.org/#/c/22315 (Grizzly)

鸣谢

• NCC Group 的 Jonathan Murray (CVE-2013-1664, CVE-2013-1665)

• Yahoo! 的 Joshua Harlow (CVE-2013-1664, CVE-2013-1665)

• Stuart Stent (CVE-2013-1664, CVE-2013-1665)

参考

• https://launchpad.net/bugs/1100282

• https://launchpad.net/bugs/1100279

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1664

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1665