ça va, Debian a toujours de l'avance par rapport à ubuntu...
https://ubuntu.com/security/CVE-2026-49975
d'ailleurs, Canoniacl n'a toujours pas patché CVE-2026-46333
(ssh-keysign-pwn)....
Le 04/06/2026 à 12:03, Frédéric MASSOT par FRsAG a écrit :
Le 04/06/2026 à 10:56, Pierre DOLIDON par FRsAG a écrit :
ça faisait longtemps !
une petite vuln CVSSv3 7.5 et CVSSv4 9.2 : CVE-2026-49975 "HTTP/2 bomb"
à vos patchs, prêts ? Attendez ! les mainteneurs des distros n'ont
pas encore publié.
Chez Debian pour Apache, le fix est dans Sid (unstable) :
https://security-tracker.debian.org/tracker/source-package/apache2
https://metadata.ftp-master.debian.org/changelogs//main/a/apache2/apache2_2.4.67-2_changelog
:
apache2 (2.4.67-2) unstable; urgency=medium
* Fix a typo in NEWS file (Closes: #1135096)
* Fix CVE-2026-49975 (HTTP/2 Bomb)
The bomb targets HPACK, HTTP/2's header compression
scheme: one byte on the wire becomes one full header
allocation on the server, repeated thousands of times
per request. The hold is a zero-byte flow-control
window that keeps the server from ever freeing any of it.
-- Bastien Roucariès <[email protected]> Fri, 08 May 2026 18:39:07 +0200
_______________________________________________
Liste de diffusion du French Sysadmin Group
https://www.frsag.org/
