Qt のあれこれ (仮)
BMP, ICO, GIF の画像処理に関するセキュリティアドバイザリーが公開されています。Qt 5.4.1 を含むすべての Qt に影響します。
不正な BMP, ICO あるいは GIF ファイルを読み込んだ際に、DoS 脆弱性またはバッファオーバーフローが発生します。後者の場合は任意のコードが実行される可能性があります。アプリケーション側で可能な対応はなく、リリースを待って Qt 5.5 を使用するか、以下のパッチを当てた Qt を使用する必要があります。Qt 4.8.7 と 5.4.2 はこれらのパッチを適用してリリースされます。
CVE-2015-1858 BMP vulnerability CVE-2015-1859 ICO vulnerability CVE-2015-1860 GIF vulnerability
BMP 画像処理に関するセキュリティアドバイザリーが公開されています。Qt 5.4.1 を含むすべての Qt に影響します。
特別に加工された BMP ファイルを読み込んだ際に、Qt アプリケーションがクラッシュします。アプリケーション側で可能な対応はなく、リリースを待って Qt 5.5 を使用するか、以下のパッチを当てた Qt を使用する必要があります。
Title: DoS vulnerability in the BMP image handler Risk Rating: Low CVE: CVE-2015-0295 Platforms: All Modules: QtBase Versions: All versions before 5.5 Author: Richard J. MooreDate: 22 February 2015
GIF 画像処理に関するセキュリティアドバイザリーが公開されています。Qt 4.8.6, 5.2.1 を含むすべての Qt に影響します。
特別に加工された GIF ファイルを読み込んだ際に、Qt アプリケーションがクラッシュします。アプリケーション側で可能な対応はなく、Qt 5.3 を使用するか、以下のパッチを当てた Qt を使用する必要があります。
なお、この記事の執筆時点で Qt 4 系のパッチは qt リポジトリにマージされてませんので、注意してください。
Qt 5.2 以外のすべての Qt にセキュリティアドバイザリーが公開されています。
いわゆる Billion laughs と呼ばれる攻撃に対する脆弱性で、Qt Core モジュールの QXmlSimpleReader クラスでメモリ使用量の制限を行っていなかったため、エンティティの展開によって爆発的にメモリを使用してしまうという問題です。
アプリケーション側で対応可能な対策方法は特にありません。まもなくリリース予定の Qt 5.2 では修正されていますが、その他のバージョンでは 5.2 へのアップグレードか以下のパッチの適用が必要となります。
Mac OS X, Linux を含む Unix 系での QSharedMemory に関するセキュリティアドバイザリーがアナウンスされています。
Qt 5.0.1 以外の Qt 4.4.0 以降のすべての Qt において、QSharedMemory や X11/XCB でバッファ共有に利用されている共有メモリが他者から読み書き可能な状態にあったという問題です。
Qt 5.0.1 では修正済みです(qtbase の変更履歴 の最後で “Important Behavior Changes” として記載されています)。Qt4 系ではリリース予定の 4.8.5 や 4.7.6 を待つか、以下のパッチを適用してください。
パッチの副作用として、異なるユーザ間で共有メモリを共有することが不可能になるほか、setuid された X サーバが動かない環境において、X のパフォーマンス低下があげられます。前者の問題には Qt の新しい API が、後者は X のプロトコル拡張が必要となります。
トルコの認証局 Türktrust が誤って不正な中間 CA 証明書を発行していた問題について、セキュリティアドバイザリーがアナウンスされています。
5.0.0 を含むすべてのバージョンの Qt に影響します。この問題では該当する証明書を元になりすましなどの攻撃が行われる可能性があります。
対策としてはまもなくリリース予定の 5.0.1 や 4.8.5 を利用するか、パッチ を適用してください。なお、パッチにはテスト用のファイルも含まれているため、リポジトリではなくリリースされているアーカイブのソースに適用する場合エラーが発生すると思いますが、src/network/ssl/qsslcertificate.cpp にパッチが適用されていれば問題有りません。
Qt4 の QSslSocket にセキュリティアドバイザリーがアナウンスされています。
openssl の 0.9.8 と 1.0.0 にバイナリ互換性がないため、ビルド時とは異なるバージョンの openssl を実行時に用いた場合、証明書の認証に失敗した場合に間違ったエラーを返す可能性があります。
対策としてはまもなくリリースされる 4.8.5 や 4.7.6、4.6.5 の利用や、パッチ を適用してください。詳細は上記のアナウンスを参照してください。
なお、Qt 5.0.0 には上記のパッチが含まれています。
Qt 4.8.4 のリリース に関連して、Qt 4.8.3 以前の QtDeclarative モジュールおよび Qt5 の QtQuick1 モジュールの XmlHttpRequest エレメントに脆弱性が見つかっています。
詳細は アナウンス を確認してください。XmlHttpRequest の通信内容に対してマン・イン・ザ・ミドル攻撃(中間者攻撃)を行うことが出来るという脆弱性になります。
対応は 4.8.4 へのアップグレードもしくは パッチ の適用で行ってください。