2013年1月5日投稿者: 朝木卓見

セキュリティアドバイザリー: QSslSocket で間違ったエラーが返る可能性

Qt4 の QSslSocket にセキュリティアドバイザリーがアナウンスされています。

[Announce] Qt Project Security Advisory: QSslSocket may report incorrect errors when certificate verification fails

openssl の 0.9.8 と 1.0.0 にバイナリ互換性がないため、ビルド時とは異なるバージョンの openssl を実行時に用いた場合、証明書の認証に失敗した場合に間違ったエラーを返す可能性があります。

対策としてはまもなくリリースされる 4.8.5 や 4.7.6、4.6.5 の利用や、パッチを適用してください。詳細は上記のアナウンスを参照してください。

なお、Qt 5.0.0 には上記のパッチが含まれています。

関連記事

2013年1月8日セキュリティアドバイザリー: トルコの不正中間証明書への対策
2012年12月2日セキュリティアドバイザリー: QML XmlHttpRequest
2013年12月10日セキュリティアドバイザリー: XML エンティティの展開によるサービス拒否
2013年1月22日 QtWebKit 2.3β1
2015年5月28日 Qt 4.8.7 リリース

関連

コメントを残すコメントをキャンセル

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください。