H2o: Sicherheitslücke im Format-String (CVE-2016-4864)
In H2O bis einschließlich Version 2.0.3 / 2.1.0-beta2 existiert eine Format-String-Schwachstelle, die von entfernten Angreifern verwendet werden kann, um Denial-of-Service-Angriffe durchzuführen.
Benutzer, die einen der folgenden Handler von H2O verwenden, können von dem Problem betroffen sein und es wird ihnen empfohlen, sofort auf Version 2.0.4 oder 2.1.0-beta3 zu aktualisieren.
Betroffene Handler:
Bereitstellungen, die nur den Dateihandler verwenden, sind von der Sicherheitsanfälligkeit nicht betroffen.
kazuho
Alle 7 Kommentare
Hallo,
Ich habe auch die folgenden Repositories für den Builder für Binärpakete aktualisiert.
Es wird dringend empfohlen, sie zu aktualisieren, wenn Sie sie verwenden.
tatsushid
am 14. Sept. 2016
Was ist der Commit für den Fix?
judofyr
am 14. Sept. 2016
Dies landete um 10:00 Uhr UTC im FreeBSD-Ports-Tree https://svnweb.freebsd.org/ports?view=revision&revision=422122 und wird in den vierteljährlichen Zweig zurückportiert, sobald das ports-secteam es genehmigt hat. Folgen Sie https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=211892 für weitere Details.
dch
am 14. Sept. 2016
Ich habe aktualisiert: https://hub.docker.com/r/lkwg82/h2o-http2-server/tags/
lkwg82
am 14. Sept. 2016
@judofyr
Was ist der Commit für den Fix?
Es tut mir leid, aber ich bin mir nicht sicher, ob es im Moment eine gute Sache wäre, die Frage an einem öffentlichen Ort zu beantworten. Bitte senden Sie mir eine E-Mail, wenn Sie solche Informationen benötigen, und geben Sie an, warum Sie sie benötigen.
kazuho
am 14. Sept. 2016
@kazuho Nun, es ist immerhin Open Source, also was wäre das Risiko, den Commit zu veröffentlichen? Ihr Kommentar macht mich ziemlich seltsam.
ge-fa
am 31. Aug. 2017
11 Monate später ist es ok, den Fix öffentlich zu machen. Verlinken geht also jetzt.
lkwg82
am 1. Sept. 2017
Verwandte Themen
utrenkner
·
5Kommentare
voiddeveloper
·
6Kommentare
concatime
·
3Kommentare
taosx
·
6Kommentare
dch
·
5Kommentare