FreeBSD：libvirt -- 使用 ../ 存取超出儲存集區範圍時發生 ACL 繞過 (f714b4c9-a6c1-11e5-88d7-047d7b492d07)

low Nessus Plugin ID 87515

語系：

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

Libvit 開發團隊報告：

多種 virStorageVol* API 將磁碟區名稱串連至集區位置，藉以針對使用者提供的磁碟區名稱運作。請注意，virStoragePoolListVolumes API 在檔案系統中的目錄所備份之儲存集區上使用時，僅會立即列出該目錄中的磁碟區 (沒有遊走到子目錄中)。不過，其他 API (例如 virStorageVolCreateXML) 不會檢查潛在的磁碟區名稱是否代表 virStoragePoolListVolumes 可能傳回的其中一個磁碟區；因為這些 API 不會拒絕在磁碟區名稱中使用 ‘/’。

因為沒有針對磁碟區名稱進行檢查，所以使用者可以提供一個潛在的磁碟區名稱 (例如 ‘../../../etc/passwd’)，以嘗試存取不屬於儲存集區的檔案。當微調的存取控制清單 (ACL) 生效時，具有 storage_vol:create ACL 權限，但缺乏 domain:write 權限的使用者可能會濫用 virStorageVolCreateXML 和類似的 API，取得一般不允許該使用者之檔案的存取權。幸好，似乎只有可能會洩漏資訊或損毀檔案的 API 需要 libvirtd 的讀寫連線；而且當 ACL 不在使用中 (預設不含其他任何組態) 時，可能已將擁有讀寫存取權的使用者視為對機器擁有完整存取權，因此，沒有權限提升，就沒有安全性問題。