安全通告:Qt中OpenSSL后端证书加载机制的不可信搜索路径漏洞
内容提要
Qt的OpenSSL后端证书加载机制存在不可信搜索路径漏洞(CVE-2025-14575),影响Qt 5.0.0至6.5.9及6.6.0至6.8.3和6.9.0至6.9.1版本。该漏洞可能导致中间人攻击,建议更新至Qt 6.5.10、6.8.4或6.9.2及以上版本,并确保系统配置正确。
关键要点
-
Qt的OpenSSL后端证书加载机制存在不可信搜索路径漏洞(CVE-2025-14575)。
-
受影响的版本包括Qt 5.0.0至6.5.9、6.6.0至6.8.3和6.9.0至6.9.1,适用于Unix和Linux平台(不包括macOS)。
-
该漏洞可能导致中间人攻击,攻击者可以将恶意证书加载为受信任的系统证书。
-
漏洞的利用需要特定的前提条件,如系统CA证书文件夹中存在损坏的符号链接,或在证书存储更新期间发生竞争条件。
-
建议更新至Qt 6.5.10、6.8.4或6.9.2及以上版本,并确保系统配置正确以支持按需证书加载。
-
避免从不可信目录(如Downloads或/tmp)运行Qt应用程序,并验证系统CA证书目录中不包含损坏的符号链接。
延伸问答
Qt的OpenSSL后端证书加载机制漏洞是什么?
该漏洞是指Qt的OpenSSL后端证书加载机制存在不可信搜索路径漏洞(CVE-2025-14575),可能导致中间人攻击。
哪些版本的Qt受到此漏洞影响?
受影响的版本包括Qt 5.0.0至6.5.9、6.6.0至6.8.3和6.9.0至6.9.1。
如何防止Qt应用程序受到此漏洞的影响?
建议更新至Qt 6.5.10、6.8.4或6.9.2及以上版本,并确保系统配置正确,避免从不可信目录运行应用程序。
该漏洞的利用条件是什么?
漏洞的利用需要特定条件,如系统CA证书文件夹中存在损坏的符号链接,或在证书存储更新期间发生竞争条件。
此漏洞可能导致什么后果?
成功利用该漏洞可能导致中间人攻击,攻击者可以将恶意证书加载为受信任的系统证书,导致信息泄露或加密通信的完整性受损。
如何检查系统CA证书目录的安全性?
应验证系统CA证书目录中不包含损坏的符号链接,以确保系统安全。
