漏洞信息详情
Qt ‘QSslSocket::sslErrors()’证书验证安全漏洞
- CNNVD编号:CNNVD-201301-073
- 危害等级: 中危
- CVE编号: CVE-2012-6093
- 漏洞类型: 加密问题
- 发布时间: 2013-01-06
- 威胁类型: 远程
- 更新时间: 2021-06-17
- 厂 商: novell
- 漏洞来源: Shane Kearns
漏洞简介
Digia Qt是芬兰Digia公司的一套跨平台的C++应用程序开发框架。该框架可用于开发GUI程序。
Qt 4.6.5之前版本,4.7.6之前的4.7.x版本,4.8.5之前的4.8.x版本的QSslSocket::sslErrors函数中存在漏洞,该漏洞源于在使用某版本的openSSL的情况下,程序使用了一个“不兼容结构布局”使得其可以从错误的位置读取内存。攻击者可利用该漏洞在证书验证期间令Qt报告不正确的错误信息,并且还可能令用户做出不安全的接收证书的决定。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://codereview.qt-project.org/#change,42461
参考网址
来源:MLIST
链接:http://lists.qt-project.org/pipermail/announce/2013-January/000020.HTML
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-02/msg00014.HTML
来源:SECUNIA
链接:http://secunia.com/advisories/52217
来源:CONFIRM
链接:https://codereview.qt-project.org/#change
来源:CONFIRM
链接:http://qt.gitorious.org/qt/qt/commit/691e78e5061d4cbc0de212d23b06c5dffddf2098%20%284.8%29
来源:MISC
链接:https://bugzilla.redhat.com/show_bug.cgi?id=891955
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2013/01/04/6
来源:UBUNTU
链接:http://www.ubuntu.com/usn/USN-1723-1
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-01/msg00086.HTML
来源:MISC
链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=697582
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-01/msg00089.HTML
来源:CONFIRM
链接:http://qt.gitorious.org/qt/qt/commit/3b14dc93cf0ef06f1424d7d6319a1af4505faa53%20%284.7%29
受影响实体
- Novell Opensuse:11.4
- Canonical Ubuntu_linux:12.10
- Canonical Ubuntu_linux:12.04:-:Lts
- Canonical Ubuntu_linux:10.04:-:Lts
- Canonical Ubuntu_linux:11.10
补丁
- Qt ‘QSslSocket::sslErrors()’证书验证安全漏洞的修复措施
评论