セキュリティに関する勧告：QXmlStreamReader

7月 19, 2023 by Qt Group 日本オフィス | Comments

本稿は「Security advisory: QXmlStreamReader」の抄訳です。

最近報告された QXmlStreamReader の潜在的なバッファオーバーフロー問題には、CVE ID CVE-2023-38197 が割り当てられています。

QXmlStreamReader は、XML 本文に DTD トークンを含む再帰的なエンティティ展開でフリーズしたり、メモリ不足になったりする可能性があります。

解決方法：添付のパッチを適用するか、Qt 5.15.15、Qt 6.2.10、または Qt 6.5.3 にアップデートしてください。このパッチを適用する前に、QXmlStreamReader に対する以前のセキュリティ勧告パッチも適用する必要があることに注意してください。

パッチ：
dev: https://codereview.qt-project.org/c/qt/qtbase/+/488960
Qt 6.5: https://codereview.qt-project.org/c/qt/qtbase/+/490550 または https://download.qt.io/official_releases/qt/6.5/CVE-2023-38197-qtbase-6.5.diff
Qt 6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-38197-qtbase-6.2.diff
Qt 5.15: https://download.qt.io/official_releases/qt/5.15/CVE-2023-38197-qtbase-5.15.diff

Blog Topics:

Comments

M ↓ Markdown

Jason

0 points

137 months ago

I thought I was pretty clear. We don't want your backend. We want our own back end powered by Qt, our Qt code, though a QObject-based web server. We define the objects, the signals, slots, etc.

We don't want BaaS.

Jason

0 points

137 months ago

Also, we wont want WebSockets. We want comet. Yeah, its not as elegant, but the firewalls sure like it better.

Tuukka Turunen

0 points

136 months ago

@Jason: Please take a look at: http://qt-project.org/wiki/...

Mika Myllymaki

0 points

137 months ago

This is a very good feedback. Thanks.

We also want support the scenario of setting up and maintaining your own backend that is powered by Qt.

Commento

セキュリティに関する勧告：QXmlStreamReader

Blog Topics:

Comments

Subscribe to our newsletter

Subscribe Newsletter

Try Qt 6.8 Now!

We're Hiring

Read Next

Qt Tools for Android Studio 4.0 リリース

Qt Gradle Plugin 1.1 リリース

Qt AI Assistant 0.8.8 を試験的にリリースしました