Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2014-0028

Опубликовано: 15 янв. 2014
Источник: redhat
CVSS2: 4.3

Уязвимость обхода ограничений ACL в libvirt, позволяющая получать конфиденциальную информацию о доменных объектах через API регистрации событий

Описание

Обнаружена уязвимость в libvirt, которая позволяет злоумышленникам, зависящим от контекста (context-dependent), обойти ограничения domain:getattr и connect:search_domains в списках контроля доступа (ACL). Это может быть использовано для получения конфиденциальной информации о доменных объектах через запросы к функциям (1) virConnectDomainEventRegister и (2) virConnectDomainEventRegisterAny в API регистрации событий.

Заявление

Не уязвимо. Данная проблема не затрагивает пакеты libvirt, поставляемые с Red Hat Enterprise Linux 5 и 6.

Затронутые версии ПО

  • libvirt 1.1.1–1.2.0

Тип уязвимости

  • Обход ограничений
  • Неавторизованный доступ к информации

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 5libvirtNot affected
Red Hat Enterprise Linux 6libvirtNot affected
Red Hat Enterprise Linux 7libvirtWill not fix
Red Hat Storage 2.0libvirtNot affected
Red Hat Storage 2.1libvirtNot affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1048637libvirt: event registration bypasses domain:getattr ACL

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2014-0028

ubuntu
около 12 лет назад

libvirt 1.1.1 through 1.2.0 allows context-dependent attackers to bypass the domain:getattr and connect:search_domains restrictions in ACLs and obtain sensitive domain object information via a request to the (1) virConnectDomainEventRegister and (2) virConnectDomainEventRegisterAny functions in the event registration API.

nvd логотип

CVE-2014-0028

nvd
около 12 лет назад

libvirt 1.1.1 through 1.2.0 allows context-dependent attackers to bypass the domain:getattr and connect:search_domains restrictions in ACLs and obtain sensitive domain object information via a request to the (1) virConnectDomainEventRegister and (2) virConnectDomainEventRegisterAny functions in the event registration API.

debian логотип

CVE-2014-0028

debian
около 12 лет назад

libvirt 1.1.1 through 1.2.0 allows context-dependent attackers to bypa ...

github логотип

GHSA-76m6-h6vf-x33v

github
больше 3 лет назад

libvirt 1.1.1 through 1.2.0 allows context-dependent attackers to bypass the domain:getattr and connect:search_domains restrictions in ACLs and obtain sensitive domain object information via a request to the (1) virConnectDomainEventRegister and (2) virConnectDomainEventRegisterAny functions in the event registration API.

4.3 Medium

CVSS2