Skip to main content

セキュリティ勧告:Qt XMLモジュールにおけるDoS型のセキュリティ問題

2025年04月7日

by Qt Group 日本オフィス
コメント
 

Qt XML モジュールの QDom クラスにおけるサービス拒否型のセキュリティ問題が発見され、CVE-2025-30348 という CVE ID が割り当てられました。

影響を受けるバージョン:5.15.18 まで、6.0.0 から 6.5.8 まで、6.6.0 から 6.7.3 まで。

影響:QDom クラスを使用して長いテキストセグメントを含む XML を記述する場合、QDomNode::save() が二次複雑性のコードパスにヒットし、攻撃者がアプリケーションが実行する XML シリアライズの速度や内容(XML の読み込み、変更、書き戻しなど)を制御できる場合、DoS 攻撃につながる可能性があります。

この問題を緩和するには、QDomで受け付けるテキストおよび属性のサイズに実装上の制限を設けるか、アプリケーションをQXmlStreamReader/Writerに移植することをお勧めします。

解決策:以下のパッチを適用するか、Qt 6.9.0、6.8.0、6.5.9、5.15.19 にアップデートしてください。

パッチ

トピック

コメント

ブログを購読

Qt 6.10 を今すぐ試そう!

最新リリースはこちらからダウンロードできます。 www.qt.io/download

 Qt 6.10 がリリースされました!アプリケーション開発者やデバイス開発者向けに、多くの新機能と改善が追加されています。 

採用情報 

現在、さまざまなポジションで採用を行っています。募集職種はこちら をご覧ください。また、Instagram をフォローして #QtPeople の働き方もぜひチェックしてください。 

関連記事

セキュリティ勧告:最近報告されたdr_wavの問題が Qt Multimedia に影響

セキュリティ勧告:最近報告されたdr_wavの問題が Qt Multimedia に影響

このブログは「Security advisory: Recently reported dr_wav issue impacts Qt」の抄訳です。..

記事を読む
Qt Champion 2025のみなさん、おめでとうございます!

Qt Champion 2025のみなさん、おめでとうございます!

このブログは「Congratulations Qt Champions 2025!」の抄訳です。 Qt プロジェクトを通して、Qt..

記事を読む
Qt LinguistにおけるIDベースの翻訳のラベルによる整理

Qt LinguistにおけるIDベースの翻訳のラベルによる整理

このブログは「Organizing ID-Based Translations with Labels in Qt Linguist」の抄訳です。..

記事を読む