Le 04/06/2026 à 10:56, Pierre DOLIDON par FRsAG a écrit :
ça faisait longtemps !
une petite vuln CVSSv3 7.5 et CVSSv4 9.2 : CVE-2026-49975 "HTTP/2 bomb"
à vos patchs, prêts ? Attendez ! les mainteneurs des distros n'ont pas
encore publié.
Chez Debian pour Apache, le fix est dans Sid (unstable) :
https://security-tracker.debian.org/tracker/source-package/apache2
https://metadata.ftp-master.debian.org/changelogs//main/a/apache2/apache2_2.4.67-2_changelog
:
apache2 (2.4.67-2) unstable; urgency=medium
* Fix a typo in NEWS file (Closes: #1135096)
* Fix CVE-2026-49975 (HTTP/2 Bomb)
The bomb targets HPACK, HTTP/2's header compression
scheme: one byte on the wire becomes one full header
allocation on the server, repeated thousands of times
per request. The hold is a zero-byte flow-control
window that keeps the server from ever freeing any of it.
-- Bastien Roucariès <[email protected]> Fri, 08 May 2026 18:39:07 +0200
--
==============================================
| FRÉDÉRIC MASSOT |
| https://www.juliana-multimedia.com |
| mailto:[email protected] |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
===========================Debian=GNU/Linux===
_______________________________________________
Liste de diffusion du French Sysadmin Group
https://www.frsag.org/
