2018-2467: Qt: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-12-04 15:34)
- Neues Advisory
- Version 2 (2019-01-22 10:55)
- Für Fedora 29 stehen mehrere Sicherheitsupdates der 'mingw-qt5'-Pakete auf die Version 5.11.3 im Status 'testing' bereit. Die Sicherheitsupdates beheben die referenzierten Schwachstellen, allerdings wird die CVE-2018-19865 in der Sicherheitsmeldung nicht erwähnt.
- Version 3 (2019-05-14 11:48)
- Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für Qt4 bereit, um die referenzierten Schwachstellen mit Ausnahme der Schwachstelle CVE-2018-19865, die von Debian nicht aufgeführt wird, zu beheben.
- Version 4 (2019-08-06 20:27)
- Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für 'qt5' bereit, um die referenzierten Schwachstellen mit Ausnahme der Schwachstelle CVE-2018-19865, die von Red Hat nicht aufgeführt wird, zu beheben. Die Updates stehen unter anderem für die Produktvarianten Red Hat Enterprise Linux for Scientific Computing 7, Desktop 7, Server 7 und Workstation 7 zur Verfügung.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Qt ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und verschiedene Denial-of-Service (DoS)-Angriffe. Eine weitere Schwachstelle ermöglicht einem lokalen, nicht authentisierten Angreifer das Ausspähen sensibler Informationen aus Logdateien.
Der Hersteller informiert über die Schwachstellen und stellt Qt 5.11.3 als Sicherheitsupdate zur Verfügung. Dies ist das letzte Update für diesen Versionszweig, alle zukünftigen Sicherheitsupdates werden für Qt 5.12.0 erfolgen, Qt 5.9 (LTS) erhält dann noch die wichtigsten Sicherheitsupdates. Die neue Version Qt 5.12.0 wird die hier beschriebenen Sicherheitsupdates bei Veröffentlichung enthalten. Die kürzlich veröffentlichte Version Qt 5.9.7 enthält bereits alle Patches bis auf denjenigen für das Problem im Kontext von Qt Virtual Keyboard. Der zugehörige Patch kann manuell eingespielt werden. Für Qt 5.6.3 stehen ebenfalls Patches zur Behebung der Schwachstellen zur Verfügung.
Schwachstellen:
CVE-2018-15518
Schwachstelle in Qt ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-19865
Schwachstelle in Qt Virtual Keyboard ermöglicht Ausspähen von InformationenCVE-2018-19869
Schwachstelle in Qt ermöglicht Denial-of-Service-AngriffCVE-2018-19870
Schwachstelle in Qt ermöglicht Denial-of-Service-AngriffCVE-2018-19871
Schwachstelle in Qt ermöglicht Denial-of-Service-AngriffCVE-2018-19873
Schwachstelle in Qt ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.