Ubuntu 14.04 LTS：Qt 弱點 (USN-2626-1)

high Nessus Plugin ID 83989

語系：

概要

遠端 Ubuntu 主機缺少一個或多個安全性更新。

說明

Wolfgang Schenk 發現，Qt 錯誤處理某些格式錯誤的 GIF 影像。如果使用者或自動化系統受到誘騙而開啟特製的 GIF 影像，遠端攻擊者就可利用此問題造成 Qt 損毀，進而導致拒絕服務。
此問題僅適用 Ubuntu 12.04 LTS 和 Ubuntu 14.04 LTS。
(CVE-2014-0190)

Fabian Vogt 發現，Qt 錯誤處理某些格式錯誤的 BMP 影像。如果使用者或自動化系統遭誘騙而開啟特製的 BMP 影像，遠端攻擊者就可利用此問題造成 Qt 損毀，進而導致拒絕服務。(CVE-2015-0295)

Richard Moore 和 Fabian Vogt 發現，Qt 錯誤處理了某些格式錯誤的 BMP 影像。如果使用者或自動化系統受到誘騙而開啟特製的 BMP 影像，遠端攻擊者就可能會利用此問題而導致 Qt 當機，進而造成拒絕服務，或可能執行任意程式碼。(CVE-2015-1858)

Richard Moore 和 Fabian Vogt 發現，Qt 錯誤處理某些格式錯誤的 ICO 影像。如果使用者或自動化系統受到誘騙而開啟特製的 ICO 影像，遠端攻擊者就可能會利用此問題而導致 Qt 損毀，進而造成拒絕服務，或可能執行任意程式碼。(CVE-2015-1859)

Richard Moore 和 Fabian Vogt 發現，Qt 錯誤處理某些格式錯誤的 GIF 影像。如果使用者或自動化系統遭誘騙而開啟特製的 GIF 影像，遠端攻擊者就可利用此問題而造成 Qt 損毀，進而導致拒絕服務，或可能執行任意程式碼。(CVE-2015-1860)

請注意，Tenable Network Security 已直接從 Ubuntu 安全性公告擷取前述描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

解決方案

更新受影響的套件。

另請參閱

https://ubuntu.com/security/notices/USN-2626-1

Plugin 詳細資訊

嚴重性: High

ID: 83989

檔案名稱: ubuntu_USN-2626-1.nasl

版本: 2.12

類型: local

代理程式: unix

系列: Ubuntu Local Security Checks

已發布: 2015/6/4

已更新: 2023/10/20

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2015-1860

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2015-1859

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:libqt5gui5, p-cpe:/a:canonical:ubuntu_linux:libqt5network5, p-cpe:/a:canonical:ubuntu_linux:libqt5opengl5, p-cpe:/a:canonical:ubuntu_linux:libqt5opengl5-dev, p-cpe:/a:canonical:ubuntu_linux:libqt5printsupport5, p-cpe:/a:canonical:ubuntu_linux:libqt5sql5, p-cpe:/a:canonical:ubuntu_linux:libqt5sql5-mysql, p-cpe:/a:canonical:ubuntu_linux:libqt5sql5-odbc, p-cpe:/a:canonical:ubuntu_linux:libqt5sql5-psql, p-cpe:/a:canonical:ubuntu_linux:libqt5sql5-sqlite, p-cpe:/a:canonical:ubuntu_linux:libqt5sql5-tds, p-cpe:/a:canonical:ubuntu_linux:libqt5test5, p-cpe:/a:canonical:ubuntu_linux:libqt5widgets5, p-cpe:/a:canonical:ubuntu_linux:libqt5xml5, p-cpe:/a:canonical:ubuntu_linux:libqtcore4, p-cpe:/a:canonical:ubuntu_linux:libqtdbus4, p-cpe:/a:canonical:ubuntu_linux:libqtgui4, p-cpe:/a:canonical:ubuntu_linux:qdbus, p-cpe:/a:canonical:ubuntu_linux:qt4-default, p-cpe:/a:canonical:ubuntu_linux:qt4-demos, p-cpe:/a:canonical:ubuntu_linux:qt4-designer, p-cpe:/a:canonical:ubuntu_linux:qt4-dev-tools, p-cpe:/a:canonical:ubuntu_linux:qt4-linguist-tools, p-cpe:/a:canonical:ubuntu_linux:qt4-qmake, p-cpe:/a:canonical:ubuntu_linux:qt4-qmlviewer, p-cpe:/a:canonical:ubuntu_linux:qt4-qtconfig, p-cpe:/a:canonical:ubuntu_linux:qt5-default, p-cpe:/a:canonical:ubuntu_linux:qt5-qmake, p-cpe:/a:canonical:ubuntu_linux:qtbase5-dev, p-cpe:/a:canonical:ubuntu_linux:qtbase5-dev-tools, p-cpe:/a:canonical:ubuntu_linux:qtbase5-examples, p-cpe:/a:canonical:ubuntu_linux:qtbase5-private-dev, p-cpe:/a:canonical:ubuntu_linux:qtcore4-l10n, cpe:/o:canonical:ubuntu_linux:14.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libqt4-assistant, p-cpe:/a:canonical:ubuntu_linux:libqt4-core, p-cpe:/a:canonical:ubuntu_linux:libqt4-dbus, p-cpe:/a:canonical:ubuntu_linux:libqt4-declarative, p-cpe:/a:canonical:ubuntu_linux:libqt4-declarative-folderlistmodel, p-cpe:/a:canonical:ubuntu_linux:libqt4-declarative-gestures, p-cpe:/a:canonical:ubuntu_linux:libqt4-declarative-particles, p-cpe:/a:canonical:ubuntu_linux:libqt4-declarative-shaders, p-cpe:/a:canonical:ubuntu_linux:libqt4-designer, p-cpe:/a:canonical:ubuntu_linux:libqt4-dev, p-cpe:/a:canonical:ubuntu_linux:libqt4-dev-bin, p-cpe:/a:canonical:ubuntu_linux:libqt4-gui, p-cpe:/a:canonical:ubuntu_linux:libqt4-help, p-cpe:/a:canonical:ubuntu_linux:libqt4-network, p-cpe:/a:canonical:ubuntu_linux:libqt4-opengl, p-cpe:/a:canonical:ubuntu_linux:libqt4-opengl-dev, p-cpe:/a:canonical:ubuntu_linux:libqt4-private-dev, p-cpe:/a:canonical:ubuntu_linux:libqt4-qt3support, p-cpe:/a:canonical:ubuntu_linux:libqt4-script, p-cpe:/a:canonical:ubuntu_linux:libqt4-scripttools, p-cpe:/a:canonical:ubuntu_linux:libqt4-sql, p-cpe:/a:canonical:ubuntu_linux:libqt4-sql-mysql, p-cpe:/a:canonical:ubuntu_linux:libqt4-sql-odbc, p-cpe:/a:canonical:ubuntu_linux:libqt4-sql-psql, p-cpe:/a:canonical:ubuntu_linux:libqt4-sql-sqlite, p-cpe:/a:canonical:ubuntu_linux:libqt4-sql-tds, p-cpe:/a:canonical:ubuntu_linux:libqt4-svg, p-cpe:/a:canonical:ubuntu_linux:libqt4-test, p-cpe:/a:canonical:ubuntu_linux:libqt4-webkit, p-cpe:/a:canonical:ubuntu_linux:libqt4-xml, p-cpe:/a:canonical:ubuntu_linux:libqt4-xmlpatterns, p-cpe:/a:canonical:ubuntu_linux:libqt5concurrent5, p-cpe:/a:canonical:ubuntu_linux:libqt5core5a, p-cpe:/a:canonical:ubuntu_linux:libqt5dbus5

必要的 KB 項目: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/6/3

弱點發布日期: 2014/5/8

參考資訊

CVE: CVE-2014-0190, CVE-2015-0295, CVE-2015-1858, CVE-2015-1859, CVE-2015-1860

BID: 67087, 73029, 74302, 74307, 74309, 74310

USN: 2626-1