CentOS 6:qt (CESA-2012:0880)
high Nessus 插件 ID 59928
语言:
简介
远程 CentOS 主机缺少一个或多个安全更新。描述
更新后的 ipa 程序包修复了两个安全问题和三个缺陷,现在可用于 Red Hat Enterprise Linux 6。Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
Qt 是一个软件工具包,可简化编写和维护 X Window System 的 GUI(图形用户界面)应用程序的任务。HarfBuzz 是一款 OpenType 文本字型引擎。
Qt 的 harfbuzz 模块中发现缓冲区溢出缺陷。如果用户使用链接 Qt 的应用程序来加载特别构建的字体文件,则可能导致应用程序崩溃或可能以运行该应用程序的用户的权限来执行任意代码。(CVE-2011-3922)
在 Qt 处理带有 IP 地址通配符的 X.509 证书的方式中发现一个缺陷。如果攻击者可获取通用名中带 IP 通配符的证书,则可能利用此缺陷冒充在使用 Qt 的客户端应用程序的 SSL 服务器。此更新还通过禁止通配符匹配多个主机名组件,引入了对主机名通配符证书更严格的处理。(CVE-2010-5076)
此更新还修复以下缺陷:
* Phonon API 允许过早释放媒体对象。
结果,GStreamer 可能由于无法访问释放的媒体对象而意外终止。此更新修改了底层 Phonon API 代码,所以不再出现该问题。(BZ#694684)
* 以前,Qt 可输出“无法识别的 OpenGL 版本”错误并恢复为 OpenGL-version-1 兼容模式。这是因为如果系统使用的 OpenGL 版本在使用的 Qt 版本之后发布,则 Qt 无法识别系统上安装的 OpenGL 版本。此更新增加了用于为 Qt 识别 OpenGL 版本的代码,并且如果 OpenGL 版本未知,Qt 将假设提供的是 OpenGL 的最新已知版本。(BZ#757793)
* 以前,Qt 中包含内编译的受信任 CA(证书颁发机构)证书列表,如果 Qt 无法打开系统的 ca-bundle.crt 文件,可能是因为使用了该列表。通过此更新,Qt 中不再包含内编译的 CA 证书,仅使用系统捆绑包。
(BZ#734444)
Qt 用户应升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序。必须重新启动所有链接 Qt 库且正在运行的应用程序才能使此更新生效。
解决方案
更新受影响的 qt 程序包。另见
插件详情
严重性: High
ID: 59928
文件名: centos_RHSA-2012-0880.nasl
版本: 1.12
类型: local
代理: unix
发布时间: 2012/7/11
最近更新时间: 2021/1/4
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.3
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2011-3922
漏洞信息
CPE: p-cpe:/a:centos:centos:phonon-backend-gstreamer, p-cpe:/a:centos:centos:qt, p-cpe:/a:centos:centos:qt-demos, p-cpe:/a:centos:centos:qt-devel, p-cpe:/a:centos:centos:qt-doc, p-cpe:/a:centos:centos:qt-examples, p-cpe:/a:centos:centos:qt-mysql, p-cpe:/a:centos:centos:qt-odbc, p-cpe:/a:centos:centos:qt-postgresql, p-cpe:/a:centos:centos:qt-sqlite, p-cpe:/a:centos:centos:qt-x11, cpe:/o:centos:centos:6
必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2012/7/10
漏洞发布日期: 2012/1/7
参考资料信息
CVE: CVE-2010-5076, CVE-2011-3922
RHSA: 2012:0880