セキュリティ勧告:QtNetworkAuth の OAuth1

QtNetworkAuthのOAuth1実装は、予測可能なシードで初期化されたPRNGを使用してノンスを生成しました。この問題はCVE ID CVE-2024-36048が割り当てられています。

本問題にしたがって、プロセスの最初のOAuth1フローの時間をなんらかの方法で制御できる攻撃者は、そのOAuthフローで使用されるノンスを予測する可能性が高いです。

解決策:該当するパッチを適用するか、Qt 5.15.17、Qt 6.2.13、Qt 6.5.6、またはQt 6.7.1にアップデートしてください。

パッチ:


Blog Topics:

Comments