Qt 4.8.7 リリース

Qt 4 系の最終リリースとなる(予定の) Qt 4.8.7 がリリースされました。

主な変更内容は以下の通りです。

  • 画像ハンドラのセキュリティアドバイザリーへの対応
  • libpng: 脆弱性修正のため、1.6.17 へ更新
  • libtiff: 脆弱性修正のため、4.0.3 へ更新
  • Mac OS X 10.10 Yosemite 上での動作を改善
    (正式サポートは Qt 5 系でのみ行います)

Qt 4.8.7 は Qt 4 系の最終リリースとなる予定です。
標準サポートも 2015 年の 12 月までとなり、その後は延長サポートとなります。
また、新しくサポート対象 OS やコンパイラの追加は行いません。
既存のプロジェクトは Qt 5 への以降が推奨されます。

Qt 4.8.6 リリース

Qt 4.8.6 がリリースされました。

Qt 4.8 系のバグフィックス版であり、200以上の修正が適用されています。Qt 4 を使用している場合はバージョンアップをお勧めします。主な変更点は以下の通りです。

注意: 同日にアナウンスされた セキュリティアドバイザリー の修正は含まれていません

Qt 4.8.6 & Qt 5.2.1 リリース準備中

Qt 4.8.6 および Qt 5.2.1 のリリース準備が進められています。

Qt 4.8.6

2/10 までに使用するコミットを決定して、2月にリリース予定です。こちらはこれからでもパッチの取り込みが間に合うかもしれません。

Qt 5.2.1

重要な問題が見つからなければ、今週か来週にリリースする予定です。

“Qt 4.8.6 & Qt 5.2.1 リリース準備中” の続きを読む

セキュリティアドバイザリー: XML エンティティの展開によるサービス拒否

Qt 5.2 以外のすべての Qt にセキュリティアドバイザリーが公開されています。

いわゆる Billion laughs と呼ばれる攻撃に対する脆弱性で、Qt Core モジュールの QXmlSimpleReader クラスでメモリ使用量の制限を行っていなかったため、エンティティの展開によって爆発的にメモリを使用してしまうという問題です。

アプリケーション側で対応可能な対策方法は特にありません。まもなくリリース予定の Qt 5.2 では修正されていますが、その他のバージョンでは 5.2 へのアップグレードか以下のパッチの適用が必要となります。

“セキュリティアドバイザリー: XML エンティティの展開によるサービス拒否” の続きを読む

Qt 4.8.5 リリース

Qt 4.8.5 がリリースされました。Qt 4.8 系のパッチリリースになります。

多数のバグフィックスに加え、4.8.4 リリース以降に発見されたセキュリティアドバイザリーの修正などが行われています。下記に 4.8.5 で修正されたセキュリティアドバイザリーを記載しておきます。ネットワーク系のアプリを使用している場合などはアップデートを推奨します。

対応されるのはしばらく後になりそうですが、Qt 5.1 のオンラインインストーラで Qt 4.8.5 をインストール可能にする計画もあるそうです。

QtWebKit 2.3 リリース

以前に ベータ1 をお伝えした QtWebKit 2.3 ですが、しばらくフォローできない間に ベータ2RC が過ぎ、リリース を迎えることとなりました。

QtWebKit 2.3 とは Qt5 の QtWebKit 3.0 を Qt4 にバックポートする非公式プロジェクトです。Qt5 特有の QQuickWebView などは対応していませんが、WebKit1 ベースの改善のほとんどを取り込んであるそうです。API/ABI ともに Qt 4.8 の QtWebKit 2.2 との互換を維持しているので、Qt4 で QtWebKit を使っている人は試してみると面白いと思います。Arch Linux など、いくつかのディストリビューションでは採用の動きもあるようです。

QtWebKit 2.3β1

Qt の WebKit モジュール(QtWebKit)には Qt 自身のバージョンとは個別のバージョン番号があることをご存じですか。例えば、Qt 4.8 に同梱されている QtWebKit は 2.2 ですし、Qt 5.0 では QtWebKit 3.0 になります。

Qt Project では Qt の新機能の開発は Qt5 に対して行われていて、Qt4 はメンテナンスモードになっています。QtWebKit も Qt4 向けの 2.x 系は公式にはメンテナンスモードなのですが、非公式のプロジェクトとして Qt5 の QtWebKit 3.0 同等の機能を Qt4 で実現する QtWebKit 2.3 が開発されています。

その QtWebKit 2.3 が β1 となりました。QtWebKit 2.3 では QtWebKit 3.0 同様に多くのバグフィックスと WebGL, CSS Animation, CSS Shader 等の新機能の追加が行われています。

詳しくは以下の記事を参照してください。

セキュリティアドバイザリー: トルコの不正中間証明書への対策

トルコの認証局 Türktrust が誤って不正な中間 CA 証明書を発行していた問題について、セキュリティアドバイザリーがアナウンスされています。

5.0.0 を含むすべてのバージョンの Qt に影響します。この問題では該当する証明書を元になりすましなどの攻撃が行われる可能性があります。

対策としてはまもなくリリース予定の 5.0.1 や 4.8.5 を利用するか、パッチ を適用してください。なお、パッチにはテスト用のファイルも含まれているため、リポジトリではなくリリースされているアーカイブのソースに適用する場合エラーが発生すると思いますが、src/network/ssl/qsslcertificate.cpp にパッチが適用されていれば問題有りません。

“セキュリティアドバイザリー: トルコの不正中間証明書への対策” の続きを読む

セキュリティアドバイザリー: QSslSocket で間違ったエラーが返る可能性

Qt4 の QSslSocket にセキュリティアドバイザリーがアナウンスされています。

openssl の 0.9.8 と 1.0.0 にバイナリ互換性がないため、ビルド時とは異なるバージョンの openssl を実行時に用いた場合、証明書の認証に失敗した場合に間違ったエラーを返す可能性があります。

対策としてはまもなくリリースされる 4.8.5 や 4.7.6、4.6.5 の利用や、パッチ を適用してください。詳細は上記のアナウンスを参照してください。

なお、Qt 5.0.0 には上記のパッチが含まれています。

Qt 4.6.5 & 4.7.6 RC

ひっそりと Qt 4.6.5 と 4.7.6 のリリース候補版(RC)が出ています。

重大なセキュリティ問題の修正と著作権表記の変更が行われています。

4.6.5:
  • SSL 圧縮をデフォルトでオフに
  • openssl のバージョン間でのバイナリ互換性の問題を修正
  • 著作権表記を Nokia から Digia へ変更
4.7.6:
  • SSL 圧縮をデフォルトでオフに
  • リダイレクト時のルールを若干厳密に
  • openssl のバージョン間でのバイナリ互換性の問題を修正
  • 著作権表記を Nokia から Digia へ変更

4.6, 4.7 を使用している人は次期に正式リリースされると思いますので、該当するバグが影響しないか確認してください。