• Developers
    • Developers Price. Buy. Download. Try.
    Subnavigation

    セキュリティに関する勧告:Qt Network

    5月 26, 2023 by Qt Group 日本オフィス | Comments

    本稿は「Security Advisory: Qt Network」の抄訳です。

    Qt Networkがstrict-transport-security (HSTS) ヘッダを誤って解析し、サーバーが明示的に禁止している場合でも暗号化されていない接続を許可します。この現象は、本ヘッダーに使用される大文字小文字が直接一致しない場合に発生します。暗号化されていない接続は、中間者攻撃を受ける可能性があります。これらの接続は、https スキームではなく http スキームの URL を使用することで確立される可能性があります。HSTSでは、httpsスキームを必ず使用する必要があります。

    解決策:Qt 5.15.14、Qt 6.2.9、Qt 6.5.1 にアップデート、又は以下のパッチを適用してください。

    パッチ:

    dev: https://codereview.qt-project.org/c/qt/qtbase/+/477560
    Qt 6.5: https://codereview.qt-project.org/c/qt/qtbase/+/476494 またはhttps://download.qt.io/official_releases/qt/6.5/CVE-2023-32762-qtbase-6.5.diff
    Qt 6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-32762-qtbase-6.2.diff
    Qt 5.15: https://download.qt.io/official_releases/qt/5.15/CVE-2023-32762-qtbase-5.15.diff
    Blog Topics:

    Comments

    Subscribe to our newsletter

    Subscribe Newsletter

    Try Qt 6.7 Now!

    Download the latest release here: www.qt.io/download.

    Qt 6.7 focuses on the expansion of supported platforms and industry standards. This makes code written with Qt more sustainable and brings more value in Qt as a long-term investment.

    We're Hiring

    Check out all our open positions here and follow us on Instagram to see what it's like to be #QtPeople.

    Read Next

    4 18, 2024

    セキュリティ勧告 :Qt WebAssembly の QNetworkReply 実装における潜在的な Use-After-Free 問題

    最近報告された Qt の QNetworkReply の wasm 実装に潜在的な Use-After-Free 問題があり、CVE ID..

    Read Article

    2 16, 2024

    セキュリティ勧告:KTXイメージ読み込み時バッファオーバフローの可能性

    QtのKTX画像処理において、最近報告されたバッファオーバーフローの可能性のある問題がCVE ID..

    Read Article

    1 4, 2024

    セキュリティ勧告:Qt の HTTP2 実装における整数オーバーフローの可能性

    QtのHTTP2実装において最近報告された整数オーバーフローの潜在的な問題がCVE ID CVE-2023-51714として割り当てられました。..

    Read Article

    G2 Leader Winter 2024 Logo
    お問い合わせ

    Qt Group includes The Qt Company Oy and its global subsidiaries and affiliates.