RHEL 6:qt (RHSA-2012:0880)
critical Nessus 插件 ID 59593
语言:
简介
远程 Red Hat 主机缺少一个或多个用于 qt 的安全更新。描述
远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2012:0880 公告中提及的多个漏洞的影响。Qt 是一个软件工具包,可简化编写和维护 X Window System 的 GUI(图形用户界面)应用程序的任务。HarfBuzz 是一款 OpenType 文本字型引擎。
在 Qt 的 harfbuzz 模块中发现缓冲区溢出缺陷。如果用户通过链接到 Qt 的应用程序加载了特别构建的字体文件,可导致该应用程序崩溃,或可能导致以运行该应用程序的用户的权限执行任意代码。
(CVE-2011-3922)
在 Qt 处理带有 IP 地址通配符的 X.509 证书的方式中发现一个缺陷。能够通过公用名(包含 IP 通配符)获取证书的攻击者可能会利用此缺陷,将 SSL 服务器冒充为使用 Qt 的客户端应用程序。此更新还通过不允许通配符匹配多个主机名组件,引入对主机名通配符证书的更严格的处理。 (CVE-2010-5076)
此更新还修复以下缺陷:
* Phonon API 允许过早释放媒体对象。
结果,GStreamer 可能由于无法访问释放的媒体对象而意外终止。此更新修改了底层 Phonon API 代码,此问题不再发生。 (BZ#694684)
* 以前,Qt 可能输出无法识别的 OpenGL 版本错误并恢复为 OpenGL-version-1 兼容模式。这是因为如果系统使用的 OpenGL 版本在使用的 Qt 版本之后发布,则 Qt 无法识别系统上安装的 OpenGL 版本。此更新将用于识别 OpenGL 版本到 Qt 的代码添加了,如果 OpenGL 版本未知,Qt 假定可使用最新已知的 OpenGL 版本。 (BZ#757793)
* 以前,Qt 中包含内编译的受信任 CA(证书颁发机构)证书列表,如果 Qt 无法打开系统的 ca-bundle.crt 文件,可能是因为使用了该列表。通过此更新,Qt 不再包含内编译的 CA 证书,并且仅使用系统捆绑包。 (BZ#734444)
Qt 用户应升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序。必须重新启动所有链接 Qt 库且正在运行的应用程序才能使此更新生效。
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
依据 RHSA-2012:0880 中的指南更新 RHEL qt 程序包。另见
http://www.nessus.org/u?3c57aa06
https://access.redhat.com/errata/RHSA-2012:0880
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=630063
https://bugzilla.redhat.com/show_bug.cgi?id=694684
插件详情
严重性: Critical
ID: 59593
文件名: redhat-RHSA-2012-0880.nasl
版本: 1.19
类型: local
代理: unix
发布时间: 2012/6/20
最近更新时间: 2025/4/15
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.3
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2011-3922
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:qt-devel, p-cpe:/a:redhat:enterprise_linux:qt-examples, p-cpe:/a:redhat:enterprise_linux:qt-sqlite, p-cpe:/a:redhat:enterprise_linux:qt-postgresql, p-cpe:/a:redhat:enterprise_linux:qt-x11, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:qt-mysql, p-cpe:/a:redhat:enterprise_linux:qt-odbc, p-cpe:/a:redhat:enterprise_linux:qt, p-cpe:/a:redhat:enterprise_linux:qt-demos, p-cpe:/a:redhat:enterprise_linux:qt-doc, p-cpe:/a:redhat:enterprise_linux:phonon-backend-gstreamer
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2012/6/20
漏洞发布日期: 2012/1/7
参考资料信息
CVE: CVE-2010-5076, CVE-2011-3922