セキュリティアドバイザリー: XML エンティティの展開によるサービス拒否

Qt 5.2 以外のすべての Qt にセキュリティアドバイザリーが公開されています。

いわゆる Billion laughs と呼ばれる攻撃に対する脆弱性で、Qt Core モジュールの QXmlSimpleReader クラスでメモリ使用量の制限を行っていなかったため、エンティティの展開によって爆発的にメモリを使用してしまうという問題です。

アプリケーション側で対応可能な対策方法は特にありません。まもなくリリース予定の Qt 5.2 では修正されていますが、その他のバージョンでは 5.2 へのアップグレードか以下のパッチの適用が必要となります。

Title: XML Entity Expansion Denial of Service
Risk Rating: Low
CVE: CVE-2013-4549
Platforms: All
Modules: QtBase
Versions: All versions before 5.2
Author: Richard J. Moore
Date: 5 December 2013

コメントを残す