Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Qt : rapport d’erreur incorrect de QSslSocket

janvier 2013 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsque Qt est utilisé avec une version d’OpenSSL différente de la version avec laquelle il a été compilé, et lorsqu’un certificat SSL est invalide, la fonction QSslSocket ::sslErrors() retourne un code/message d’erreur incorrect, ce qui peut tromper l’utilisateur.

Produits concernés : Fedora, Unix (plateforme)

Gravité : 2/4

Date création : 04/01/2013

DESCRIPTION DE LA VULNÉRABILITÉ

La classe QSslSocket de Qt implémente le support de SSL/TLS. La bibliothèque OpenSSL est utilisée pour fournir les fonctionnalités bas niveau.

La fonction QSslSocket ::sslErrors() indique les erreurs qui surviennent lors d’une session SSL. Cette fonction utilise directement le champ "error" de la structure OpenSSL X509_STORE_CTX. Cependant, entre OpenSSL version 0.9 et 1.0, l’organisation de la structure X509_STORE_CTX a été modifiée, et le champ "error" n’est plus situé au même endroit. La valeur qu’il contient est alors incohérente.

Lorsque Qt est utilisé avec une version d’OpenSSL différente de la version avec laquelle il a été compilé, et lorsqu’un certificat SSL est invalide, la fonction QSslSocket ::sslErrors() retourne donc un code/message d’erreur incorrect, ce qui peut tromper l’utilisateur.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Q...




Voir les articles précédents

    

Voir les articles suivants