セキュリティ勧告：最近発見された HTTP2 処理の問題が Qt に影響

HTTP2をサポートするサーバーへのTLS接続を開き、そこにホストされているアプリケーションにデータを送信する場合、QtはTLS証明書とリダイレクト先のアドレスが一致しない場合でもサーバーにデータを送信します。この問題は、CVE ID CVE-2024-39936が割り当てられています。

これは、HTTP2をサポートしているすべてのQtのバージョンに影響を与えます。以前のバージョンでは、これはデフォルトでオフになっていましたが、関連する属性を使用してオンにすることができました。

解決策：回避策として、初期リクエストの開始に使用されるQNetworkRequestで次のように呼び出すことで、サポートをオフにすることができます。

setAttribute(QNetworkRequest::Http2AllowedAttribute, false);

代わりに、Qt 6.8.0、Qt 6.7.3、Qt 6.5.7、Qt 6.2.13、または Qt 5.15.18 にアップデートしてください。

パッチ：

• dev：https://codereview.qt-project.org/c/qt/qtbase/+/571601
• Qt 6.7 および Qt 6.6：https://codereview.qt-project.org/c/qt/qtbase/+/574323 または https://download.qt.io/official_releases/qt/6.7/CVE-2024-39936-qtbase-6.7.patch
• Qt 6.5：https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/574426 または https://download.qt.io/official_releases/qt/6.5/CVE-2024-39936-qtbase-6.5.patch
• Qt 6.2：https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/575684 または https://download.qt.io/archive/qt/6.2/CVE-2024-39936-qtbase-6.2.patch
• Qt 5.15：https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/575980 または https://download.qt.io/archive/qt/5.15/CVE-2024-39936-qtbase-5.15.patch