Une vulnérabilité de chaîne de format existe dans H2O jusqu'à et y compris la version 2.0.3 / 2.1.0-beta2 , qui peut être utilisée par des attaquants distants pour monter des attaques par déni de service.
Les utilisateurs utilisant l'un des gestionnaires de H2O suivants peuvent être concernés par le problème et sont invités à mettre à niveau immédiatement vers la version 2.0.4 ou 2.1.0-beta3 .
Gestionnaires concernés :
Les déploiements utilisant uniquement le gestionnaire de fichiers ne sont pas affectés par la vulnérabilité.
Bonjour,
J'ai également mis à jour les référentiels de mon générateur de packages binaires.
Il est fortement recommandé de mettre à jour si vous les utilisez.
Quel est le commit pour le correctif ?
Cela a atterri dans l'arborescence des ports FreeBSD à 10h00 UTC https://svnweb.freebsd.org/ports?view=revision&revision=422122 et sera rétroporté dans la branche trimestrielle une fois que ports-secteam l'aura approuvé. Suivez https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=211892 pour plus de détails.
J'ai mis à jour : https://hub.docker.com/r/lkwg82/h2o-http2-server/tags/
@judofyr
Quel est le commit pour le correctif ?
Je suis désolé mais je ne sais pas si répondre à la question dans un lieu public serait une bonne chose à faire pour le moment. S'il vous plaît envoyez-moi un mail si vous avez besoin de ces informations en indiquant pourquoi vous en avez besoin.
@kazuho Eh bien, c'est open-source après tout, alors quel serait le risque de rendre le commit public? Votre commentaire me fait un drôle d'effet.
11 mois plus tard, c'est bon, pour rendre le correctif public. Donc, la liaison est ok maintenant.