FreeBSD：libvirt -- ../ を使用してストレージプールを超えてアクセスする ACL バイパス（f714b4c9-a6c1-11e5-88d7-047d7b492d07）

low Nessus プラグイン ID 87515

Language:

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

Libvit 開発チームによる報告：

プールの場所にボリューム名を連結することにより、ユーザー指定のボリューム名で様々な virStorageVol* API が動作します。注意：ファイルシステムのディレクトリにあるストレージプールで　virStoragePoolListVolumes API を使用すると、そのディレクトリ内のボリュームのみが即座に一覧表示されます（サブディレクトリへのトラバーサルはありません）。ただし、virStorageVolCreateXML などの他の API は、潜在的なボリューム名に virStoragePoolListVolumes が返す可能性のあるボリュームの 1 つが表示されているかをチェックしていませんでした。これは、ボリューム名の中の「/」の使用を拒否していなかったためです。

ボリューム名がチェックされなかったため、ユーザーが「../../../etc/passwd」のような潜在的なボリューム名を指定し、ストレージプールに属していないファイルにアクセスしようとする可能性がありました。このため、細粒度のアクセスコントロールリスト（ACL）が有効な場合、storage_vol:create ACL 権限があるが domain:write 権限のないユーザーが、virStorageVolCreateXML、および類似の API を悪用し、本来は許可されていないファイルにアクセスする可能性があります。幸いなことに、情報を漏洩したり、ファイルを破損したりする可能性のある API のみが libvirtd に対する読み書き接続を必要とし、ACL が使用されていない場合（追加の構成を行っていない場合のデフォルト設定）、読み書きアクセスのあるユーザーはマシンに対するフルアクセスがあると既に見なすことができ、権限昇格がない限りセキュリティの問題はないようです。