[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2020/dla-2334.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="8461642cd206a7ebfe69f01254b714b608eab3bd" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert quâ??il existait une vulnérabilité de déni de service dans
<tt>ruby-websocket-extensions</tt>, une bibliothèque pour gérer des connexions
<q>Websocket</q> HTTP de longue durée.</p>

<p>Lâ??analyseur prenait un temps quadratique lors de lâ??analyse dâ??un en-tête
contenant une valeur de chaîne de paramètre non <q>fermée</q> dont le contenu
est une séquence de deux octets répétitifs. Cela pourrait être mal utilisé pour
une attaque de déni de service par expression rationnelle (ReDoS) sur un serveur
mono-processus en fournissant une charge malveillante dans lâ??en-tête HTTP
<tt>Sec-WebSocket-Extensions</tt>.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-7663";>CVE-2020-7663</a>

<p>Le module websocket-extensions de Ruby avant la version 0.1.5 permet un déni
de service (DoS) à lâ??aide de retour arrière dâ??expression rationnelle. 
Lâ??analyseur dâ??extension pouvait prendre une durée quadratique lors de lâ??analyse
dâ??un en-tête contenant une valeur de chaîne de paramètre non <q>fermée</q> dont
le contenu est une séquence de deux octets répétitifs de barres oblique inverse
ou dâ??un autre caractère. Cela pourrait être mal utilisé pour une attaque de déni
de service par expression rationnelle (ReDoS) sur un serveur mono-processus en
fournissant une charge malveillante dans lâ??en-tête HTTP
Sec-WebSocket-Extensions.</p>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 0.1.2-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ruby-websocket-extensions.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2334.data"
# $Id: $
Reply to: