セキュリティアナウンス: Qt Creator 2.0.0

Qt Creator 2.0.0 とそれ以前のバージョンに脆弱性が発見されました。この脆弱性は "qtcreator" シェルスクリプトにおける Unix 環境変数の安全ではない操作に起因するものです。それによって、Qt および Qt Coreator でカレントディレクトリにあるライブラリをロード可能な問題が発生していました。

この脆弱性によって Qt Creator はカレントディレクトリにある Unix の共有ライブラリをロードすることが可能となっていました。この問題は Window および Mac OS X では発生しません。また、最新の Qt Creator 2.0.1 ではこの問題は修正されました。

この問題には CVE-2010-3374 が識別子として割り当てられています。詳細は http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-337 をご参照ください。

推奨する対応策

この問題によって引き起こされるリスクを回避するために、Qt Creator 2.0.0 およびそれ以前のバージョンのユーザには最新リリースである Qt Creator 2.0.1 へのアップグレードを推奨します。Qt Creator 2.0.1 は get.qt.nokia.com からダウンロードできます。

現時点でアップグレードが不可能なユーザは "qtcreator" スクリプトを交換してください。

Qt Creator のパッケージに含まれているバイナリ qtcreator.bin に置き換えるか、Qt Creator のリポジトリにある問題が修正されたスクリプトと置き換えてください。

問題修正済みのスクリプトへのリンク: http://www.qt.gitorious.org/qt-creator/qt-creator/blobs/3c00715c8e90c57953ec4a8716110f6954e524e4/bin/qtcreator

参考情報

セキュリティアナウンス(原文): Security announcement - Qt Creator 2.0.0 for desktop platforms

Qt Blog

Categories

Archives