LSN-2014-0003: Don't expand entities when parsing XML CVE-2014-0179
authorDaniel P. Berrange <berrange@redhat.com>
Tue, 15 Apr 2014 10:20:29 +0000 (11:20 +0100)
committerDaniel P. Berrange <berrange@redhat.com>
Tue, 6 May 2014 13:04:45 +0000 (14:04 +0100)
commitd6b27d3e4c40946efa79e91d134616b41b1666c4
tree6a4c045bbfa1d2e28e82d0e118ed45bffdcb66ce
parent96eb7523e4a20605cc498d221c20ca6f18f5d3bb
LSN-2014-0003: Don't expand entities when parsing XML

If the XML_PARSE_NOENT flag is passed to libxml2, then any
entities in the input document will be fully expanded. This
allows the user to read arbitrary files on the host machine
by creating an entity pointing to a local file. Removing
the XML_PARSE_NOENT flag means that any entities are left
unchanged by the parser, or expanded to "" by the XPath
APIs.

Signed-off-by: Daniel P. Berrange <berrange@redhat.com>
src/util/virxml.c