Qtブログ(日本語)

セキュリティ勧告:Qt の HTTP2 実装における整数オーバーフローの可能性

作成者: Qt Group 日本オフィス|Jan 4, 2024 12:57:52 PM

QtのHTTP2実装において最近報告された整数オーバーフローの潜在的な問題がCVE ID CVE-2023-51714として割り当てられました。

5.15.17 以前の Qt、6.2.11 以前の 6.x、6.5.4 以前の 6.3.x〜6.5.x、6.6.2 以前の 6.6.x に問題が発見されました。

HTTP2 の実装がヘッダを合計で 4GiB 以上、または任意のヘッダペアで 2GiB 以上受信すると、内部バッファがオーバーフローする可能性があります。

対処法:以下の 2 つのパッチを適用するか、Qt 5.15.17、Qt 6.2.11、6.5.4、または 6.6.2 にアップデートしてください。

パッチ:

dev: https://codereview.qt-project.org/c/qt/qtbase/+/524864 および https://codereview.qt-project.org/c/qt/qtbase/+/524865

Qt 6.6: https://codereview.qt-project.org/c/qt/qtbase/+/525295 および https://codereview.qt-project.org/c/qt/qtbase/+/525297/3 又は https://download.qt.io/official_releases/qt/6.6/0001-CVE-2023-51714-qtbase-6.6.diff および https://download.qt.io/official_releases/qt/6.6/0002-CVE-2023-51714-qtbase-6.6.diff

Qt 6.5: https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/525624 および https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/525625/1 又は https://download.qt.io/official_releases/qt/6.5/0001-CVE-2023-51714-qtbase-6.5.diff および https://download.qt.io/official_releases/qt/6.5/0002-CVE-2023-51714-qtbase-6.5.diff

Qt 6.2: https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/525709 および https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/525710 又は https://download.qt.io/official_releases/qt/6.2/0001-CVE-2023-51714-qtbase-6.2.diff および https://download.qt.io/official_releases/qt/6.2/0002-CVE-2023-51714-qtbase-6.2.diff

Qt 5.15: https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/525874 および https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/525875 又は https://download.qt.io/official_releases/qt/5.15/0001-CVE-2023-51714-qtbase-5.15.diff および https://download.qt.io/official_releases/qt/5.15/0002-CVE-2023-51714-qtbase-5.15.diff