Уязвимость чтения произвольных файлов в XML-библиотеках Python, используемых в OpenStack Keystone, Django и других продуктах, через атаку XML External Entity (XXE)
Описание
Обнаружена уязвимость в XML-библиотеках для Python версий 3.4, 3.3, 3.2, 3.1, 2.7 и 2.6, которые используются в следующих продуктах:
- OpenStack Keystone (версии Essex и Folsom),
- Django,
- возможно, других продуктах.
Удалённые злоумышленники могут читать произвольные файлы через объявление внешней сущности XML в сочетании с ссылкой на сущность, что известно как атака XML External Entity (XXE).
Заявление
Данная проблема затрагивает версии Python, поставляемые с Red Hat Enterprise Linux 5, 6 и 7. Служба безопасности Red Hat оценила эту проблему как имеющую умеренное влияние на безопасность. В настоящее время не планируется устранение данной уязвимости в будущих обновлениях.
Затронутые версии ПО
- Python 3.4, 3.3, 3.2, 3.1, 2.7 и 2.6
- Продукты, использующие данные версии Python:
- OpenStack Keystone (Essex, Folsom)
- Django
Тип уязвимости
Чтение произвольных файлов
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 5 | python | Will not fix | ||
| Red Hat Enterprise Linux 6 | python | Will not fix | ||
| Red Hat Enterprise Linux 7 | python | Will not fix | ||
| Red Hat OpenStack Platform 2.1 | Django14 | Affected | ||
| Red Hat OpenStack Platform 2.1 | openstack-cinder | Affected | ||
| Red Hat OpenStack Platform 2.1 | openstack-keystone | Affected | ||
| Red Hat OpenStack Platform 2.1 | openstack-nova | Affected | ||
| RHOS Essex Release | Django14 | Affected | ||
| RHOS Essex Release | openstack-keystone | Affected | ||
| RHOS Essex Release | openstack-nova | Affected |
Показывать по
Дополнительная информация
Статус:
5.8 Medium
CVSS2
Связанные уязвимости
The XML libraries for Python 3.4, 3.3, 3.2, 3.1, 2.7, and 2.6, as used in OpenStack Keystone Essex and Folsom, Django, and possibly other products allow remote attackers to read arbitrary files via an XML external entity declaration in conjunction with an entity reference, aka an XML External Entity (XXE) attack.
The XML libraries for Python 3.4, 3.3, 3.2, 3.1, 2.7, and 2.6, as used in OpenStack Keystone Essex and Folsom, Django, and possibly other products allow remote attackers to read arbitrary files via an XML external entity declaration in conjunction with an entity reference, aka an XML External Entity (XXE) attack.
The XML libraries for Python 3.4, 3.3, 3.2, 3.1, 2.7, and 2.6, as used ...
5.8 Medium
CVSS2