Actu
Vigil@nce - Qt : rapport d’erreur incorrect de QSslSocket
janvier 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsque Qt est utilisé avec une version d’OpenSSL différente de la version avec laquelle il a été compilé, et lorsqu’un certificat SSL est invalide, la fonction QSslSocket ::sslErrors() retourne un code/message d’erreur incorrect, ce qui peut tromper l’utilisateur.
Produits concernés : Fedora, Unix (plateforme)
Gravité : 2/4
Date création : 04/01/2013
DESCRIPTION DE LA VULNÉRABILITÉ
La classe QSslSocket de Qt implémente le support de SSL/TLS. La bibliothèque OpenSSL est utilisée pour fournir les fonctionnalités bas niveau.
La fonction QSslSocket ::sslErrors() indique les erreurs qui surviennent lors d’une session SSL. Cette fonction utilise directement le champ "error" de la structure OpenSSL X509_STORE_CTX. Cependant, entre OpenSSL version 0.9 et 1.0, l’organisation de la structure X509_STORE_CTX a été modifiée, et le champ "error" n’est plus situé au même endroit. La valeur qu’il contient est alors incohérente.
Lorsque Qt est utilisé avec une version d’OpenSSL différente de la version avec laquelle il a été compilé, et lorsqu’un certificat SSL est invalide, la fonction QSslSocket ::sslErrors() retourne donc un code/message d’erreur incorrect, ce qui peut tromper l’utilisateur.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Tweeter
