漏洞信息详情
Qt 安全绕过漏洞
- CNNVD编号:CNNVD-201206-384
- 危害等级: 中危
- CVE编号: CVE-2010-5076
- 漏洞类型: 输入验证错误
- 发布时间: 2010-08-27
- 威胁类型: 远程
- 更新时间: 2021-06-17
- 厂 商: digia
- 漏洞来源: Richard Moore and ...
漏洞简介
Digia Qt是芬兰Digia公司的一套跨平台的C++应用程序开发框架。该框架可用于开发GUI程序。
Qt中存在安全绕过漏洞,该漏洞源于应用程序未正确验证包含‘CN’的SSL证书,该证书可作为通配符与IP地址一起使用。攻击者可利用该漏洞将信用的替换为恶意的SSL证书,执行中间人攻击或冒充信任的服务器,有助于进一步攻击。Qt 4.6版本和早期的版本中存在漏洞。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://bugreports.qt-project.org/browse/QTBUG-4455
参考网址
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2012-0880.HTML
来源:MISC
链接:http://www.westpoint.ltd.uk/advisories/wp-10-0001.txt
来源:CONFIRM
链接:http://qt.gitorious.org/qt/qt/commit/846f1b44eea4bb34d080d055badb40a4a13d369e
来源:CONFIRM
链接:http://qt.gitorious.org/qt/qt/commit/5f6018564668d368f75e431c4cdac88d7421cff0
来源:SECUNIA
链接:http://secunia.com/advisories/49604
来源:SECUNIA
链接:http://secunia.com/advisories/41236
来源:CONFIRM
链接:https://bugreports.qt-project.org/browse/QTBUG-4455
来源:SECUNIA
链接:http://secunia.com/advisories/49895
来源:UBUNTU
链接:http://www.ubuntu.com/usn/USN-1504-1
受影响实体
- Digia Qt:4.0.0
- Digia Qt:4.0.1
- Digia Qt:4.1.1
- Digia Qt:4.1.3
- Digia Qt:4.1.2
补丁
- Qt 安全绕过漏洞的修复措施
评论