セキュリティ勧告：Qt Schannel 処理の不完全なクリーンアップの問題

Qt の Schannel 処理において、TLS 接続の受信処理を提供するサーバーとして使用する場合に「不完全なクリーンアップ」の問題が発生します。

この問題は CVE ID CVE-2025-6338 に割り当てられています。

影響を受けるバージョン: この問題は、Qt 5.15 で有効になっている場合、および Qt 6.2 以降でデフォルト設定の場合、Windows での Schannel 機能にのみ影響します。

影響: 各接続ごとに 4KB のファイルが作成され、アプリケーションまたは Qt によってクリーンアップされません。その結果、利用可能なディスク領域がすべて消費される可能性があります。Windows が独自のクリーンアップを行うため、コンピュータを再起動することでこれらのファイルがクリーンアップされるものと想定されていますが、これは確認されていません。

脆弱性スコア: CVSS v4.0: 9.2

解決策: ワークアラウンドとして、%APPDATA%\Roaming\Microsoft\Crypto\RSA\<ユーザーSID> ディレクトリで定期的なクリーンアップを実施できます。または、バージョンに対応するパッチを適用するか、Qt 6.5.10、6.8.4、または 6.9.2 にアップグレードしてください。

• 6.9: https://download.qt.io/official_releases/qt/6.9/CVE-2025-5991-qtbase-6.9.patch 又は https://codereview.qt-project.org/c/qt/qtbase/+/653082
• 6.8: https://download.qt.io/official_releases/qt/6.8/CVE-2025-6338-qtbase-6.8.patch 又は https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/653128
• 6.5: https://download.qt.io/official_releases/qt/6.5/CVE-2025-6338-qtbase-6.5.patch 又は https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/654600