セキュリティに関する勧告:QXmlStreamReader

本稿は「Security advisory: QXmlStreamReader」の抄訳です。

最近報告された QXmlStreamReader の潜在的なバッファオーバーフロー問題には、CVE ID CVE-2023-38197 が割り当てられています。

QXmlStreamReader は、XML 本文に DTD トークンを含む再帰的なエンティティ展開でフリーズしたり、メモリ不足になったりする可能性があります。

解決方法:添付のパッチを適用するか、Qt 5.15.15、Qt 6.2.10、または Qt 6.5.3 にアップデートしてください。このパッチを適用する前に、QXmlStreamReader に対する以前のセキュリティ勧告パッチも適用する必要があることに注意してください。

パッチ:
dev: https://codereview.qt-project.org/c/qt/qtbase/+/488960
Qt 6.5: https://codereview.qt-project.org/c/qt/qtbase/+/490550 または https://download.qt.io/official_releases/qt/6.5/CVE-2023-38197-qtbase-6.5.diff
Qt 6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-38197-qtbase-6.2.diff
Qt 5.15: https://download.qt.io/official_releases/qt/5.15/CVE-2023-38197-qtbase-5.15.diff


Blog Topics:

Comments

?
Jason
0 points
137 months ago

I thought I was pretty clear. We don't want your backend. We want our own back end powered by Qt, our Qt code, though a QObject-based web server. We define the objects, the signals, slots, etc.

We don't want BaaS.

?
Jason
0 points
137 months ago

Also, we wont want WebSockets. We want comet. Yeah, its not as elegant, but the firewalls sure like it better.

?
Tuukka Turunen
0 points
136 months ago

@Jason: Please take a look at: http://qt-project.org/wiki/...

?
Mika Myllymaki
0 points
137 months ago

This is a very good feedback. Thanks.

We also want support the scenario of setting up and maintaining your own backend that is powered by Qt.