Skip to main content

CVE修复案例 —— 可靠的Qt流程

这是2024年夏季的真实案例,通过多个补丁和第三方协作实现多平台漏洞修复。

Qt Group为客户提供全流程支持,否则需自行处理全部漏洞修复工作。

  1. Qt安全邮件列表发布通告

    6月24日星期二

    Email: Possible information leak

    bugreports.qt.io/browse/QTBUG-126610创建Qt内部缺陷报告。

  2. 验证为有效漏洞。启动CVE注册。

    6月28日星期五

    注册CVE ID:CVE-2024-39936

  3. EWL:客户通知。首个补丁发布(未生效)。

    6月29日星期六

    CRA-VulnerabilityManagement-ExampleCVECaseAtQt-2CustomerNotification-tinified

  4. CVE创建

    7月4日星期四

    CVE公开链接发布于nvd.nist.gov/vuln/detail/cve-2024-39936

  5. EWL:客户更新。有效补丁交付及集成。

    7月5日星期五

    CRA-VulnerabilityManagement-ExampleCVECaseAtQt-5CustomerUpdate-tinified

  6. EWL:向客户发送解决方案确认邮件。

    7月15日星期一

    CRA-VulnerabilityManagement-ExampleCVECaseAtQt-6CustomerResolution-tinified

  7. 公开安全通告

    7月17日星期三

    发布于qt.io/blog/recently-discovered-http2-handling

本页面及网站内容不构成法律意见,仅用于信息分享及议题讨论。内容可能随时变更,Qt Group不保证信息的准确性或时效性,亦不对任何外部链接网站的内容及运营负责。此处信息不可替代且不应被视为法律建议。