Skip to main content

実例で見るQtのCVE対応

こちらは、2024年夏に実際に発生したCVE対応の実例です。複数のプラットフォームにまたがる問題に対し、複数の修正パッチとサードパーティとの連携によって解決されました。

Qt Groupでは、こうした対応をお客様に代わって確実に実施しています。

  1. Qt security mailing listへの投稿

    6月24日(火)

    Email: Possible information leak

    Qt内部でバグレポートを作成: bugreports.qt.io/browse/QTBUG-126610

  2. 有効な脆弱性として確認され、CVE登録に進行

    6月28日(金)

    正式にCVEとして登録、CVE ID: cve-2024-39936

  3. EWL:顧客への通知。最初のパッチを適用したが効果がなかった

    6月29日(土)

    CRA-VulnerabilityManagement-ExampleCVECaseAtQt-2CustomerNotification-tinified

  4. CVEの作成

    7月4日(木)

    nvd.nist.gov/vuln/detail/cve-2024-39936 にて一般公開されました。

  5. EWL:顧客向けアップデート。修正済みパッチを確認し、統合を実施

    7月5日(金)

    CRA-VulnerabilityManagement-ExampleCVECaseAtQt-5CustomerUpdate-tinified

  6. EWL:顧客向け最終対応完了の通知メールを送付

    7月15日(月)

    CRA-VulnerabilityManagement-ExampleCVECaseAtQt-6CustomerResolution-tinified

  7. セキュリティアドバイザリの公開

    7月17日(水)

    qt.io/ja-jp/blog/recently-discovered-http2-handling にて公開

本ページおよび本ウェブサイトに記載されている情報は、法的助言を構成するものではありません。掲載内容は、あくまで情報提供およびテーマに関する議論を目的としたものであり、予告なく変更される可能性があります。Qt Groupは、本ページの内容の正確性や最新性を保証するものではなく、また本ページからリンクされている外部サイトや、外部サイトから本ページへリンクされているコンテンツや運営について一切の責任を負いません。本ページの情報は、法律上の助言の代替として使用すべきものではなく、そのように解釈されるべきではありません。