Qt 'QSslSocket::sslErrors()'证书校验安全漏洞

admin

0
文章

0
评论

2023-12-07 22:32:07 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 Qt 'QSslSocket::sslErrors()'证书校验安全漏洞

CVE编号

CVE-2012-6093

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-02-25

漏洞描述

QT是一款跨平台的C 应用程序开发框架。QT库可在运行时时通过动态加载库与多个OpenSSL版本一起工作，但是由于openssl 0.9.8和openssl 1.0.0版本间不兼容结构布局变化，在证书校验回调过程中QT会从错误的内存地址获取错误代码。通常此结果会造成连接错误，但SSL错误列表中会包含QSslError::NoError来代替原有的错误原因，这可导致用户忽略原来的错误而继续信任的访问网站。

解决建议

用户可参考如下厂商提供的安全补丁：https://codereview.qt-project.org/#change,42461

参考链接
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=697582
http://lists.opensuse.org/opensuse-updates/2013-01/msg00086.html
http://lists.opensuse.org/opensuse-updates/2013-01/msg00089.html
http://lists.opensuse.org/opensuse-updates/2013-02/msg00014.html
http://lists.qt-project.org/pipermail/announce/2013-January/000020.html
http://qt.gitorious.org/qt/qt/commit/3b14dc93cf0ef06f1424d7d6319a1af4505faa53...
http://qt.gitorious.org/qt/qt/commit/691e78e5061d4cbc0de212d23b06c5dffddf2098...
http://secunia.com/advisories/52217
http://www.openwall.com/lists/oss-security/2013/01/04/6
http://www.ubuntu.com/usn/USN-1723-1
https://bugzilla.redhat.com/show_bug.cgi?id=891955
https://codereview.qt-project.org/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	digia	qt	*		Up to (including) 4.6.5
	运行在以下环境
	应用	digia	qt	4.6.0	-
	运行在以下环境
	应用	digia	qt	4.6.1	-
	运行在以下环境
	应用	digia	qt	4.6.2	-
	运行在以下环境
	应用	digia	qt	4.6.3	-
	运行在以下环境
	应用	digia	qt	4.6.4	-
	运行在以下环境
	应用	digia	qt	4.7.0	-
	运行在以下环境
	应用	digia	qt	4.7.1	-
	运行在以下环境
	应用	digia	qt	4.7.2	-
	运行在以下环境
	应用	digia	qt	4.7.3	-
	运行在以下环境
	应用	digia	qt	4.7.4	-
	运行在以下环境
	应用	digia	qt	4.7.5	-
	运行在以下环境
	应用	digia	qt	4.7.6	-
	运行在以下环境
	应用	digia	qt	4.8.0	-
	运行在以下环境
	应用	digia	qt	4.8.1	-
	运行在以下环境
	应用	digia	qt	4.8.2	-
	运行在以下环境
	应用	digia	qt	4.8.3	-
	运行在以下环境
	应用	digia	qt	4.8.4	-
	运行在以下环境
	系统	debian_10	qt4-x11	*		Up to (excluding) 4.8.7+dfsg-18+deb10u1
	运行在以下环境
	系统	suse_12	libqt4	*		Up to (excluding) 4.8.6-2
	运行在以下环境
	系统	ubuntu_12.04.5_lts	qt4-x11	*		Up to (excluding) 4:4.8.1-0ubuntu4.4