Re: [RFR] wml://lts/security/2020/dla-2334.wml
On 20/08/2020 10:02, JP Guillonneau wrote:
> Bonjour,
>
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
>
> Merci d’avance pour vos relectures.
>
> Amicalement.
>
> --
> Jean-Paul
>
Bonjour,
quelques détails,
amicalement.
--- dla-2334A.wml 2020-08-20 10:49:31.835211033 +0400
+++ dla-2334.wml 2020-08-20 10:53:38.103827940 +0400
@@ -7,7 +7,7 @@
<q>Websocket</q> HTTP de longue durée.</p>
<p>L’analyseur prenait un temps quadratique lors de l’analyse d’un en-tête
-contenant une valeur de chaîne de paramètre non <q>fermée</q> dont le contenu
+contenant une valeur de chaîne de paramètres non <q>fermée</q> dont le contenu
est une séquence de deux octets répétitifs. Cela pourrait être mal utilisé pour
une attaque de déni de service par expression rationnelle (ReDoS) sur un serveur
mono-processus en fournissant une charge malveillante dans l’en-tête HTTP
@@ -18,10 +18,10 @@
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-7663">CVE-2020-7663</a>
<p>Le module websocket-extensions de Ruby avant la version 0.1.5 permet un déni
-de service (DoS) à l’aide de retour arrière d’expression rationnelle.
+de service (DoS) à l’aide de retour arrière d’expressions rationnelles.
L’analyseur d’extension pouvait prendre une durée quadratique lors de l’analyse
-d’un en-tête contenant une valeur de chaîne de paramètre non <q>fermée</q> dont
-le contenu est une séquence de deux octets répétitifs de barres oblique inverse
+d’un en-tête contenant une valeur de chaîne de paramètres non <q>fermée</q> dont
+le contenu est une séquence de deux octets répétitifs de barres obliques inverses
ou d’un autre caractère. Cela pourrait être mal utilisé pour une attaque de déni
de service par expression rationnelle (ReDoS) sur un serveur mono-processus en
fournissant une charge malveillante dans l’en-tête HTTP
Reply to: