Le 04/06/2026 à 10:56, Pierre DOLIDON par FRsAG a écrit :
ça faisait longtemps !
une petite vuln CVSSv3 7.5 et CVSSv4 9.2 : CVE-2026-49975 "HTTP/2 bomb"
à vos patchs, prêts ? Attendez ! les mainteneurs des distros n'ont pas encore publié.
Chez Debian pour Apache, le fix est dans Sid (unstable) : https://security-tracker.debian.org/tracker/source-package/apache2 https://metadata.ftp-master.debian.org/changelogs//main/a/apache2/apache2_2.... : apache2 (2.4.67-2) unstable; urgency=medium * Fix a typo in NEWS file (Closes: #1135096) * Fix CVE-2026-49975 (HTTP/2 Bomb) The bomb targets HPACK, HTTP/2's header compression scheme: one byte on the wire becomes one full header allocation on the server, repeated thousands of times per request. The hold is a zero-byte flow-control window that keeps the server from ever freeing any of it. -- Bastien Roucariès <rouca@debian.org> Fri, 08 May 2026 18:39:07 +0200 -- ============================================== | FRÉDÉRIC MASSOT | | https://www.juliana-multimedia.com | | mailto:frederic@juliana-multimedia.com | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ===========================Debian=GNU/Linux===