Avis du CERT-FR

Objet: Vulnérabilité dans Qt

Gestion du document

Référence	CERTA-2008-AVI-001
Titre	Vulnérabilité dans Qt
Date de la première version	03 janvier 2008
Date de la dernière version	03 janvier 2008
Source(s)	Réference CVE-2007-5965
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

Qt versions 4.3.2 et antérieures.

Résumé

Une vulnérabilité de Qt permet à un utilisateur malveillant de contourner la politique de sécurité.

Description

Qt est une bibliothèque logicielle multi-système.

Une vulnérabilité dans QSslSocket permet d'outrepasser la vérification des certificats. L'exploitation de ce défaut permet à un utilisateur malveillant d'utiliser des certificats contrefaits et de contourner la politique de sécurité.

Solution

La version 4.3.3 corrige ce problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Annonce de l'éditeur Trolltech du 21 décembre 2007 :

http://trolltech.com/company/newsroom/announcements/press.2007-12-21.21825672220

Référence CVE CVE-2007-5965 :

https://www.cve.org/CVERecord?id=CVE-2007-5965

Gestion détaillée du document

le 03 janvier 2008: version initiale.