H2o: Vulnérabilité liée au format de chaîne (CVE-2016-4864)

Créé le 14 sept. 2016 · 7Commentaires · Source: h2o/h2o

Une vulnérabilité de chaîne de format existe dans H2O jusqu'à et y compris la version 2.0.3 / 2.1.0-beta2 , qui peut être utilisée par des attaquants distants pour monter des attaques par déni de service.

Les utilisateurs utilisant l'un des gestionnaires de H2O suivants peuvent être concernés par le problème et sont invités à mettre à niveau immédiatement vers la version 2.0.4 ou 2.1.0-beta3 .

Gestionnaires concernés :

Les déploiements utilisant uniquement le gestionnaire de fichiers ne sont pas affectés par la vulnérabilité.

vulnerability

Source

kazuho

Tous les 7 commentaires

Bonjour,

J'ai également mis à jour les référentiels de mon générateur de packages binaires.

Il est fortement recommandé de mettre à jour si vous les utilisez.

tatsushid le 14 sept. 2016

👍1

Quel est le commit pour le correctif ?

judofyr le 14 sept. 2016

Cela a atterri dans l'arborescence des ports FreeBSD à 10h00 UTC https://svnweb.freebsd.org/ports?view=revision&revision=422122 et sera rétroporté dans la branche trimestrielle une fois que ports-secteam l'aura approuvé. Suivez https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=211892 pour plus de détails.

dch le 14 sept. 2016

👍1

J'ai mis à jour : https://hub.docker.com/r/lkwg82/h2o-http2-server/tags/

lkwg82 le 14 sept. 2016

👍1

@judofyr

Quel est le commit pour le correctif ?

Je suis désolé mais je ne sais pas si répondre à la question dans un lieu public serait une bonne chose à faire pour le moment. S'il vous plaît envoyez-moi un mail si vous avez besoin de ces informations en indiquant pourquoi vous en avez besoin.

kazuho le 14 sept. 2016

@kazuho Eh bien, c'est open-source après tout, alors quel serait le risque de rendre le commit public? Votre commentaire me fait un drôle d'effet.