在OpenSSL中间握手中错误地调用SSL_shutdown()，导致TLS应用程序拒绝服务

admin

0
文章

0
评论

2023-12-01 21:20:49 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危在OpenSSL中间握手中错误地调用SSL_shutdown()，导致TLS应用程序拒绝服务

CVE编号

CVE-2020-13962

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-06-09

漏洞描述

Digia Qt是芬兰Digia公司的一套跨平台的C++应用程序开发框架。该框架可用于开发GUI程序。Mumble是一套用于游戏中的语音通讯工具。该工具可以让玩家在玩游戏的同时进行实时的语音交流。 Digia Qt 5.12.2版本至5.14.2版本（用于Mumble 1.3.0非官方版本和其他产品）中存在安全漏洞，该漏洞源于程序在OpenSSL握手过程中没有正确调用‘SSL_shutdown’函数。攻击者可利用该漏洞导致TLS应用程序拒绝服务。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://bugreports.qt.io/browse/QTBUG-83450

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00004.html
https://bugreports.qt.io/browse/QTBUG-83450
https://github.com/mumble-voip/mumble/issues/3679
https://github.com/mumble-voip/mumble/pull/4032
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202007-18

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	mumble	mumble	1.3.0	-
	运行在以下环境
	应用	qt	qt	*	From (including) 5.12.2	Up to (excluding) 5.14.2
	运行在以下环境
	系统	centos_8	qt5-qtwebsockets-examples	*		Up to (excluding) 5.12.5-2.el8
	运行在以下环境
	系统	debian_10	qtbase-opensource-src	*		Up to (excluding) 5.11.3+dfsg1-1+deb10u5
	运行在以下环境
	系统	debian_11	qtbase-opensource-src	*		Up to (excluding) 5.14.2+dfsg-6
	运行在以下环境
	系统	debian_12	qtbase-opensource-src	*		Up to (excluding) 5.14.2+dfsg-6
	运行在以下环境
	系统	debian_sid	qtbase-opensource-src	*		Up to (excluding) 5.14.2+dfsg-6
	运行在以下环境
	系统	fedora_31	murmur	*		Up to (excluding) 1.3.2-1.fc31
	运行在以下环境
	系统	fedora_32	murmur	*		Up to (excluding) 1.3.2-1.fc32
	运行在以下环境
	系统	fedora_33	murmur	*		Up to (excluding) 1.3.2-1.fc33
	运行在以下环境
	系统	opensuse_Leap_15.2	libQt5Sql5-sqlite	*		Up to (excluding) 5.12.7-lp152.3.3.1
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 5.12.5-2.el8
	运行在以下环境
	系统	redhat_8	qt5-qtwebsockets-examples	*		Up to (excluding) 5.12.5-2.el8
	运行在以下环境
	系统	ubuntu_16.04.7_lts	qtbase-opensource-src	*		Up to (excluding) 5.5.1+dfsg-16ubuntu7.7
	运行在以下环境
	系统	ubuntu_18.04.5_lts	qtbase-opensource-src	*		Up to (excluding) 5.9.5+dfsg-0ubuntu2.5