DFN-CERT-2012-1201 Mehrere Schwachstellen in Qt [Linux][RedHat]

DFN-CERT-2012-1201 Mehrere Schwachstellen in Qt [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket qt

Betroffene Plattformen:

Red Hat Enterprise Linux Desktop (v. 6) – i386, x86_64
Red Hat Enterprise Linux Desktop Optional (v. 6) – i386, noarch, x86_64
Red Hat Enterprise Linux HPC Node (v. 6) – x86_64
Red Hat Enterprise Linux HPC Node Optional (v. 6) – noarch, x86_64
Red Hat Enterprise Linux Server (v. 6) – i386, noarch, ppc64, s390x, x86_64
Red Hat Enterprise Linux Server Optional (v. 6) – i386, ppc64, s390x,
x86_64
Red Hat Enterprise Linux Workstation (v. 6) – i386, noarch, x86_64
Red Hat Enterprise Linux Workstation Optional (v. 6) – i386, x86_64

Zwei Schwachstellen in Qt ermöglichen entfernten Angreifern
Man-in-the-Middle-Angriffe auf SSL-Verbindungen durchzuführen oder die
Anwendung zum Absturz zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

CVE-2010-5076: Schwachstelle in Qt

Qt wendet Wildcards im “Common Name”-Feld von x509v3-Zertifikaten bei der
Verifikation auf den gesamten Hostnamen an, sodass das Zertifikat auf mehr
als eine Namensteil einer Domain angewendet werden kann. Dies hat zur Folge,
dass ein Angreifer mit einem speziell erzeugtem, von einer
vertrauenswürdigen Certificate Authority (CA) signierten Zertifikat,
Man-in-the-Middle-Angriffe auf verschlüsselte Verbindungen durchführen kann.

CVE-2011-3922: Buffer Overflow-Schwachstelle in Qt

Der in Qt enthaltene Font-Renderer Harfbuzz verarbeitet bestimmte
tibetanische Schriftzeichen auf unsichere Weise. Dies erlaubt einem
entfernten Angreifer eine Anwendung, welche auf Qt basiert und Webinhalte
nachlädt, zum Absturz zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1201/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2012-0880.html

Schwachstelle CVE-2010-5076:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-5076

Schwachstelle CVE-2011-3922:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3922

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben