发布日期：2010-06-29
更新日期：2010-07-01

受影响系统：

Nokia Qt <= 4.6.3

描述：

---

BUGTRAQ  ID: 41250
CVE ID: CVE-2010-2621

Qt是一个跨平台应用程序框架，允许一次性开发应用程序和用户界面，然后将其部署到多个桌面和嵌入式操作系统。

Qt的src/network/ssl/qsslsocket_openssl.cpp文件的QSslSocketBackendPrivate::transmit()函数中存在死循环漏洞，远程攻击者可以向通过QSslSocket类使用SSL的应用服务器发送恶意报文导致耗尽CPU资源。

<*来源：Luigi Auriemma （aluigi@pivx.com）
  
  链接：http://secunia.com/advisories/40389/
        http://aluigi.altervista.org/adv/qtsslame-adv.txt
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://aluigi.altervista.org/poc/qtsslame.zip

建议：

---

厂商补丁：

Nokia
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.nokia.com

浏览次数：2739
严重程度：0（网友投票）