DFN-CERT-2017-2283 Qt: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

DFN-CERT-2017-2283 Qt: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Qt < 5.9.4 Betroffene Plattformen: Red Hat Fedora 26 Red Hat Fedora 27 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Qt für einen Denial-of-Service (DoS)-Angriff gegen die Anwendung ausnutzen. Der Hersteller informiert über die Schwachstelle in Qt 5.3.2 und möglicherweise späteren Versionen und kündigt an, dass diese mit Qt 5.9.4 (erwartet für Januar 2018) behoben wird. Es steht bereits ein Patch zur Verfügung. Für Fedora 26 und 27 stehen Sicherheitsupdates in Form der Pakete 'qt5-qtbase-5.9.2-6.fc26' und 'qt5-qtbase-5.9.2-6.fc27' im Status 'testing' bereit, um diese Schwachstelle zu beheben. Patch: Fedora Security Update FEDORA-2017-1682a6a2a0 (Fedora 27, qt5-qtbase-5.9.2-6.fc27) https://bodhi.fedoraproject.org/updates/FEDORA-2017-1682a6a2a0

Patch:

Fedora Security Update FEDORA-2017-aa4cc10bde (Fedora 26,
qt5-qtbase-5.9.2-6.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-aa4cc10bde

Patch:

Qt Code Review: Fix out of bounds reads in qdnslookup_unix

https://codereview.qt-project.org/#/c/212782/

QTBUG-64742: Schwachstelle in Qt ermöglicht Denial-of-Service-Angriff

In ‘src/network/kernel/qdnslookup_unix.cpp’ in Qt auf Unix-Systemen kommt es
bei der Verwendung von QDnsLookup für den Zugriff auf große TXT-Felder (561
Bytes) auf eine DNS-Abfrage (Query) zu einem Lesen über zugewiesene
Speichergrenzen hinaus (Out-of-Bounds Read), wodurch ein
Segmentierungsfehler (Segmentation Fault) ausgelöst wird, infolge dessen die
Anwendung abstürzt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2283/

Fedora Security Update FEDORA-2017-1682a6a2a0 (Fedora 27,
qt5-qtbase-5.9.2-6.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-1682a6a2a0

Fedora Security Update FEDORA-2017-aa4cc10bde (Fedora 26,
qt5-qtbase-5.9.2-6.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-aa4cc10bde

QTBUG-64742: QDnsLookup crash on unix when DNS response is over 512 byte:
https://bugreports.qt.io/browse/QTBUG-64742

Qt Code Review: Fix out of bounds reads in qdnslookup_unix:
https://codereview.qt-project.org/#/c/212782/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben