Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Qt : rapport d’erreur incorrect de QSslSocket

janvier 2013 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsque Qt est utilisé avec une version d’OpenSSL différente de la
version avec laquelle il a été compilé, et lorsqu’un certificat
SSL est invalide, la fonction QSslSocket::sslErrors() retourne un
code/message d’erreur incorrect, ce qui peut tromper l’utilisateur.

Produits concernés : Fedora, Unix (plateforme)

Gravité : 2/4

Date création : 04/01/2013

DESCRIPTION DE LA VULNÉRABILITÉ

La classe QSslSocket de Qt implémente le support de SSL/TLS. La
bibliothèque OpenSSL est utilisée pour fournir les fonctionnalités
bas niveau.

La fonction QSslSocket::sslErrors() indique les erreurs qui
surviennent lors d’une session SSL. Cette fonction utilise
directement le champ "error" de la structure OpenSSL
X509_STORE_CTX. Cependant, entre OpenSSL version 0.9 et 1.0,
l’organisation de la structure X509_STORE_CTX a été modifiée, et
le champ "error" n’est plus situé au même endroit. La valeur qu’il
contient est alors incohérente.

Lorsque Qt est utilisé avec une version d’OpenSSL différente de la
version avec laquelle il a été compilé, et lorsqu’un certificat
SSL est invalide, la fonction QSslSocket::sslErrors() retourne
donc un code/message d’erreur incorrect, ce qui peut tromper
l’utilisateur.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Qt-rapport-d-erreur-incorrect-de-QSslSocket-12285


Voir les articles précédents

    

Voir les articles suivants