关键漏洞信息 Bug ID: 891955 CVE ID: CVE-2012-6093, CVE-2012-6093 简短描述: QSSLSocket 在证书验证失败时可能报告不正确的错误 状态: 已关闭 (NOTABUG) 关键字: 安全 报告日期: 2013-01-04 16:06 UTC 最后修改日期: 2021-02-17 08:14 UTC 严重性: 低 优先级: 低 产品: Security Response 组件: vulnerability OS: Linux 硬件: All 分配给: Red Hat Product Security 漏洞描述 在使用不同版本的 OpenSSL 时,Qt 的 QSSLSocket 实现执行证书验证回调时存在安全缺陷。这种情况下,会导致连接错误,但 SSL 错误列表中包含 QsslErrorNoError 而不是错误的真正原因。这可能导致向最终用户展示混淆的错误,可能鼓励他们忽略网站的 SSL 错误。 相关引用及修补程序: 1. [[1]](http://lists.qt-project.org/pipermail/announce/2013-January/000020.html) 2. [[2]](https://codereview.qt-project.org/#change,42461) 影响和解决 影响版本: Qt(4.x 及以后) 补丁: 已提交修复版本到 bodhi 版本确认: Fedora 和 RHEL 不受影响,因为他们链接到构建时提供的 OpenSSL 版本,避免了动态加载导致的版本不兼容问题。