本稿は「Security Advisory: Qt Network」の抄訳です。
Qt Networkがstrict-transport-security (HSTS) ヘッダを誤って解析し、サーバーが明示的に禁止している場合でも暗号化されていない接続を許可します。この現象は、本ヘッダーに使用される大文字小文字が直接一致しない場合に発生します。暗号化されていない接続は、中間者攻撃を受ける可能性があります。これらの接続は、https スキームではなく http スキームの URL を使用することで確立される可能性があります。HSTSでは、httpsスキームを必ず使用する必要があります。
解決策:Qt 5.15.14、Qt 6.2.9、Qt 6.5.1 にアップデート、又は以下のパッチを適用してください。
パッチ:
dev: https://codereview.qt-project.org/c/qt/qtbase/+/477560
Qt 6.5: https://codereview.qt-project.org/c/qt/qtbase/+/476494 またはhttps://download.qt.io/official_releases/qt/6.5/CVE-2023-32762-qtbase-6.5.diff
Qt 6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-32762-qtbase-6.2.diff
Qt 5.15: https://download.qt.io/official_releases/qt/5.15/CVE-2023-32762-qtbase-5.15.diff