クロスプラットフォームライブラリとAPI
Qt Creator IDEと生産性向上ツール
UI compositionのためのUIデザインツール
Qtプロジェクト向け
モバイルアプリのデジタル広告
受託開発、トレーニング、サポート等
組み込み向けユーセージ分析
Qtは、UIデザインやソフトウェア開発から品質保証、展開に至るまで、製品開発ライフサイクル全体で生産性を向上させます。あなたのニーズに最も適したソリューションを見つけてください。
最新のリソースを入手し、今後のイベントを確認しましょう。
理想的な学習リソースを見つけたり、コミュニティと交流したりして、Qtのスキルを向上させましょう。
初心者であろうとベテランのQtプロであろうと、成功するために必要なサポートと助けがすべて揃っています。
6月 05, 2023 by Qt Group 日本オフィス | Comments
本稿は「Security advisory: Qt Network」の抄訳です。
Qt Networkにおけるバッファオーバーフローの問題が報告され、CVE ID CVE-2023-33285 が付与されました。
QDnsLookupは、DNSプロトコルに違反する特定の特別に細工された応答で、DNS応答を受信するために割り当てられたバッファの境界外を読むことがあります。
QDnsLookupは、ユーザー・アプリケーションによって開始されたDNSクエリの結果としてのみ、このクラスで明示的にDNS応答を解析します。このクラスは、メール配信のためのMXの取得など、DNSレコードのサポートを特に必要とするアプリケーションによって通常使用され、通常のドメイン名解決では使用されません。現在、Qtの他のクラスでは使用されていません。
本脆弱性を利用するには、攻撃者は有効なDNSクエリを取得し、クエリされたサーバーの正しいIPアドレスから応答する必要があります(一般的には、公衆無線LANシナリオのように、被害者システムで使用されるDNSサーバーを制御することによって行われます)。
より遠隔地からの攻撃も可能の場合は、中間DNSサーバーがこの不正な応答を拒否し、伝搬しない可能性があります。
これはUnixベースのプラットフォームのみに影響し、Windowsは全く影響を受けません。
解決策:Qt 5.15.14、Qt 6.2.9、Qt 6.5.1 にアップデート、又は以下のパッチまたを適用してください。
パッチ:
dev: https://codereview.qt-project.org/c/qt/qtbase/+/477644
Qt 6.5: https://codereview.qt-project.org/c/qt/qtbase/+/477704 または https://download.qt.io/official_releases/qt/6.5/CVE-2023-33285-qtbase-6.5.diff
Qt 6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-33285-qtbase-6.2.diff
Qt 5.15: https://download.qt.io/official_releases/qt/5.15/CVE-2023-33285-qtbase-5.15.diff
Download the latest release here: www.qt.io/download.
Qt 6.7 focuses on the expansion of supported platforms and industry standards. This makes code written with Qt more sustainable and brings more value in Qt as a long-term investment.
Check out all our open positions here and follow us on Instagram to see what it's like to be #QtPeople.
4 18, 2024
最近報告された Qt の QNetworkReply の wasm 実装に潜在的な Use-After-Free 問題があり、CVE ID..
2 16, 2024
QtのKTX画像処理において、最近報告されたバッファオーバーフローの可能性のある問題がCVE ID..
1 4, 2024
QtのHTTP2実装において最近報告された整数オーバーフローの潜在的な問題がCVE ID CVE-2023-51714として割り当てられました。..
Qt Group includes The Qt Company Oy and its global subsidiaries and affiliates.