セキュリティに関する勧告：Qt Network

本稿は「Security advisory: Qt Network」の抄訳です。

Qt NetworkのOpenSSLとSchannelの両方に影響を与える最近のSSLの問題が報告され、CVE ID CVE-2023-34410が割り当てられています。

状況によっては、システムCA証明書リストがSSLピア認証のために予期せずアクティブ状態を保持することがあります。サーバ側でカスタムの制限付きCA証明書リストを使用してクライアントを認証することになっており、サーバが脆弱である場合、悪意のあるクライアントが非常に多くの予期せぬ有効なSSL秘密鍵と証明書を使用して、サーバに対してSSL認証を成功させることができます。

解決方法：以下のパッチを適用、またはQt 5.15.15, Qt 6.2.9, Qt 6.5.2 にアップデートしてください。

パッチ:

dev: https://codereview.qt-project.org/c/qt/qtbase/+/477560 及び https://codereview.qt-project.org/c/qt/qtbase/+/480002
Qt 6.5: https://codereview.qt-project.org/c/qt/qtbase/+/479276 及び https://codereview.qt-project.org/c/qt/qtbase/+/480474 又は https://download.qt.io/official_releases/qt/6.5/CVE-2023-34410-qtbase-6.5.diff
Qt 6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-34410-qtbase-6.2.diff
Qt 5.15: https://download.qt.io/official_releases/qt/5.15/CVE-2023-34410-qtbase-5.15.diff