2013-2095: Qt: Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2013-12-20 12:52)

Neues Advisory

Version 2 (2014-01-20 19:17)

openSUSE stellt nun für die Versionen 12.2 & 12.3 ebenfalls Backported Patches zur Verfügung.

Version 3 (2014-01-27 12:59)

Die Schwachstelle ist in openSUSE 13.1 per Backported Patch behoben worden.

Version 4 (2014-02-03 12:22)

Die Schwachstelle wurde bereits in openSUSE 13.1 per Backported Patch auf libqt4-4.8.5-5.9.2 behoben worden, nunmehr liegt auch libqt5-qtbase-5.1.1-6.7 vor.

Version 5 (2014-02-24 18:11)

Der Hersteller stellt nun auch Patches für SUSE Linux Enterprise 11 SP3 zur Verfügung mit Backported Patch libqt4-4.6.3-5.29.2.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Alle Anwendungen, die die bereitgestellte API benutzen, um XML-Objekte zu parsen, belegen sehr viel Speicher und belasten die CPU. Hierdurch entsteht ein Denial-of-Servie-Zustand.

Als Hinweis: Die offiziell korrigierte Version, die von Qt zur Verfügung gestellt wird, ist Version 5.2. In den betroffenen Distributionen werden weiterhin Versionen kleiner als 5.2 eingesetzt, wobei die Schwachstelle trotzdem, durch einen sogenannten Backport, in den Distributionen behoben ist. Das heißt für die Distributionen wurde der Patch auch in alte Qt-Versionen eingepflegt, die aber nicht offiziell vom Hersteller zur Verfügung gestellt werden.

Schwachstellen:

CVE-2013-4549

Denial-of-Service durch manipulierte XML-Objekten bei Qt

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.