S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 03 janvier 2008
N° CERTA-2008-AVI-001
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Qt

Gestion du document

Référence CERTA-2008-AVI-001
Titre Vulnérabilité dans Qt
Date de la première version03 janvier 2008
Date de la dernière version03 janvier 2008
Source(s) Réference CVE-2007-5965
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

Qt versions 4.3.2 et antérieures.

Résumé

Une vulnérabilité de Qt permet à un utilisateur malveillant de contourner la politique de sécurité.

Description

Qt est une bibliothèque logicielle multi-système.

Une vulnérabilité dans QSslSocket permet d'outrepasser la vérification des certificats. L'exploitation de ce défaut permet à un utilisateur malveillant d'utiliser des certificats contrefaits et de contourner la politique de sécurité.

Solution

La version 4.3.3 corrige ce problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 03 janvier 2008
    version initiale.