Re: [RFR] wml://lts/security/2020/dla-2334.wml
On 20/08/2020 10:02, JP Guillonneau wrote: > Bonjour, > > Ces annonces de sécurité ont été publiées. > Les fichiers sont aussi disponibles ici : > https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml > https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml > > Merci d’avance pour vos relectures. > > Amicalement. > > -- > Jean-Paul > Bonjour, quelques détails, amicalement. --- dla-2334A.wml 2020-08-20 10:49:31.835211033 +0400 +++ dla-2334.wml 2020-08-20 10:53:38.103827940 +0400 @@ -7,7 +7,7 @@ Websocket HTTP de longue durée. L’analyseur prenait un temps quadratique lors de l’analyse d’un en-tête -contenant une valeur de chaîne de paramètre non fermée dont le contenu +contenant une valeur de chaîne de paramètres non fermée dont le contenu est une séquence de deux octets répétitifs. Cela pourrait être mal utilisé pour une attaque de déni de service par expression rationnelle (ReDoS) sur un serveur mono-processus en fournissant une charge malveillante dans l’en-tête HTTP @@ -18,10 +18,10 @@ https://security-tracker.debian.org/tracker/CVE-2020-7663";>CVE-2020-7663 Le module websocket-extensions de Ruby avant la version 0.1.5 permet un déni -de service (DoS) à l’aide de retour arrière d’expression rationnelle. +de service (DoS) à l’aide de retour arrière d’expressions rationnelles. L’analyseur d’extension pouvait prendre une durée quadratique lors de l’analyse -d’un en-tête contenant une valeur de chaîne de paramètre non fermée dont -le contenu est une séquence de deux octets répétitifs de barres oblique inverse +d’un en-tête contenant une valeur de chaîne de paramètres non fermée dont +le contenu est une séquence de deux octets répétitifs de barres obliques inverses ou d’un autre caractère. Cela pourrait être mal utilisé pour une attaque de déni de service par expression rationnelle (ReDoS) sur un serveur mono-processus en fournissant une charge malveillante dans l’en-tête HTTP
[RFR] wml://lts/security/2020/dla-2334.wml
Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="8461642cd206a7ebfe69f01254b714b608eab3bd" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Il a été découvert quâil existait une vulnérabilité de déni de service dans ruby-websocket-extensions, une bibliothèque pour gérer des connexions Websocket HTTP de longue durée. Lâanalyseur prenait un temps quadratique lors de lâanalyse dâun en-tête contenant une valeur de chaîne de paramètre non fermée dont le contenu est une séquence de deux octets répétitifs. Cela pourrait être mal utilisé pour une attaque de déni de service par expression rationnelle (ReDoS) sur un serveur mono-processus en fournissant une charge malveillante dans lâen-tête HTTP Sec-WebSocket-Extensions. https://security-tracker.debian.org/tracker/CVE-2020-7663";>CVE-2020-7663 Le module websocket-extensions de Ruby avant la version 0.1.5 permet un déni de service (DoS) à lâaide de retour arrière dâexpression rationnelle. Lâanalyseur dâextension pouvait prendre une durée quadratique lors de lâanalyse dâun en-tête contenant une valeur de chaîne de paramètre non fermée dont le contenu est une séquence de deux octets répétitifs de barres oblique inverse ou dâun autre caractère. Cela pourrait être mal utilisé pour une attaque de déni de service par expression rationnelle (ReDoS) sur un serveur mono-processus en fournissant une charge malveillante dans lâen-tête HTTP Sec-WebSocket-Extensions. Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.1.2-1+deb9u1. Nous vous recommandons de mettre à jour vos paquets ruby-websocket-extensions. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2334.data" # $Id: $
