Vigil@nce - Qt Creator : absence de validation de clé publique SSH
novembre 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut intercepter et manipuler les communications
entre Qt Creator et les périphériques qu’il pilote, afin
d’obtenir les privilèges de l’utilisateur légitime.
Produits concernés : Windows (plateforme), Unix (plateforme)
Gravité : 2/4
Date création : 07/11/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Qt Creator permet de piloter des terminal mobiles,
éventuellement à travers le réseau.
Dans ce dernier cas, Qt Creator utilise SSH. Cependant, la clé
publique du serveur SSH du terminal n’est pas vérifiée, ce qui
permet à un attaquant posé en relais de lire et modifier les
données échangées comme en l’absence de SSH. Ceci est similaire
aux vulnérabilités liées aux mauvaises vérifications de
certificat X.509 dans le cas de communications sur SSL.
Un attaquant peut donc intercepter et manipuler les communications
entre Qt Creator et les périphériques qu’il pilote, afin
d’obtenir les privilèges de l’utilisateur légitime.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Qt-Creator-absence-de-validation-de-cle-publique-SSH-15609