ça faisait longtemps ! une petite vuln CVSSv3 7.5 et CVSSv4 9.2 : CVE-2026-49975 "HTTP/2 bomb" à vos patchs, prêts ? Attendez ! les mainteneurs des distros n'ont pas encore publié.
Le 04/06/2026 à 10:56, Pierre DOLIDON par FRsAG a écrit :
ça faisait longtemps !
une petite vuln CVSSv3 7.5 et CVSSv4 9.2 : CVE-2026-49975 "HTTP/2 bomb"
à vos patchs, prêts ? Attendez ! les mainteneurs des distros n'ont pas encore publié.
Chez Debian pour Apache, le fix est dans Sid (unstable) : https://security-tracker.debian.org/tracker/source-package/apache2 https://metadata.ftp-master.debian.org/changelogs//main/a/apache2/apache2_2.... : apache2 (2.4.67-2) unstable; urgency=medium * Fix a typo in NEWS file (Closes: #1135096) * Fix CVE-2026-49975 (HTTP/2 Bomb) The bomb targets HPACK, HTTP/2's header compression scheme: one byte on the wire becomes one full header allocation on the server, repeated thousands of times per request. The hold is a zero-byte flow-control window that keeps the server from ever freeing any of it. -- Bastien Roucariès <rouca@debian.org> Fri, 08 May 2026 18:39:07 +0200 -- ============================================== | FRÉDÉRIC MASSOT | | https://www.juliana-multimedia.com | | mailto:frederic@juliana-multimedia.com | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ===========================Debian=GNU/Linux===
ça va, Debian a toujours de l'avance par rapport à ubuntu... https://ubuntu.com/security/CVE-2026-49975 d'ailleurs, Canoniacl n'a toujours pas patché CVE-2026-46333 (ssh-keysign-pwn).... Le 04/06/2026 à 12:03, Frédéric MASSOT par FRsAG a écrit :
Le 04/06/2026 à 10:56, Pierre DOLIDON par FRsAG a écrit :
ça faisait longtemps !
une petite vuln CVSSv3 7.5 et CVSSv4 9.2 : CVE-2026-49975 "HTTP/2 bomb"
à vos patchs, prêts ? Attendez ! les mainteneurs des distros n'ont pas encore publié.
Chez Debian pour Apache, le fix est dans Sid (unstable) :
https://security-tracker.debian.org/tracker/source-package/apache2
https://metadata.ftp-master.debian.org/changelogs//main/a/apache2/apache2_2.... :
apache2 (2.4.67-2) unstable; urgency=medium
* Fix a typo in NEWS file (Closes: #1135096) * Fix CVE-2026-49975 (HTTP/2 Bomb) The bomb targets HPACK, HTTP/2's header compression scheme: one byte on the wire becomes one full header allocation on the server, repeated thousands of times per request. The hold is a zero-byte flow-control window that keeps the server from ever freeing any of it.
-- Bastien Roucariès <rouca@debian.org> Fri, 08 May 2026 18:39:07 +0200
Le jeu. 4 juin 26 à 14:56:31 +0200, Pierre DOLIDON par FRsAG <frsag@frsag.org> écrivait :
ça va, Debian a toujours de l'avance par rapport à ubuntu... https://ubuntu.com/security/CVE-2026-49975 d'ailleurs, Canoniacl n'a toujours pas patché CVE-2026-46333 (ssh-keysign-pwn)....
Pris en compte aussi pour FreeBSD : https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=295842 À vos marques ! -- Th. Thomas.
Bon si je comprends bien, il va falloir rapidement avoir un agent IA qui tourne sur tous les serveurs, qui scrute les nouveaux CVE, pour déployer le patch recommandé :) David
Le 4 juin 2026 à 16:45, Thierry Thomas par FRsAG <frsag@frsag.org> a écrit :
Le jeu. 4 juin 26 à 14:56:31 +0200, Pierre DOLIDON par FRsAG <frsag@frsag.org> écrivait :
ça va, Debian a toujours de l'avance par rapport à ubuntu... https://ubuntu.com/security/CVE-2026-49975 d'ailleurs, Canoniacl n'a toujours pas patché CVE-2026-46333 (ssh-keysign-pwn)....
Pris en compte aussi pour FreeBSD : https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=295842
À vos marques ! -- Th. Thomas. _______________________________________________ Liste de diffusion du French Sysadmin Group https://www.frsag.org/
Hello, On Thu, 4 Jun 2026 17:20:54 +0200 David Ponzone par FRsAG <frsag@frsag.org> wrote:
Bon si je comprends bien, il va falloir rapidement avoir un agent IA qui tourne sur tous les serveurs, qui scrute les nouveaux CVE, pour déployer le patch recommandé :)
Jusqu'au jour ou c'est cet agent qui sera le CVE :( Paul -- Paul Rolland E-Mail : rol(at)witbe.net CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 18 Rue d'Arras, Bat. A11 Fax. +33 (0)1 47 67 77 99 F-92000 Nanterre RIPE : PR12-RIPE Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur "Some people dream of success... while others wake up and work hard at it" "I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation
Le 04/06/2026 à 18:27, Stéphane Rivière par FRsAG a écrit :
Jusqu'au jour ou c'est cet agent qui sera le CVE :(
Exactement :)
Mettez à jour tous les jours et problème réglé, je fais cela depuis 16 ans en pro et dans les 28 ans en perso. Et précision ce n'est pas de l'automatique, je lance un script qui me montre ce qu'il va mettre à jour, fait la mise à jour à mon déclenchement, log toutes les versions changées dans le git, rollback si erreur, kexec restart si nécessaire. Bref les concours d'uptime de N années c'est fini depuis longtemps mais là ça devient urgent :P
Ouais ou utiliser Slackware 2.1….. David
Le 4 juin 2026 à 19:33, Wallace par FRsAG <frsag@frsag.org> a écrit :
Le 04/06/2026 à 18:27, Stéphane Rivière par FRsAG a écrit :
Jusqu'au jour ou c'est cet agent qui sera le CVE :(
Exactement :)
Mettez à jour tous les jours et problème réglé, je fais cela depuis 16 ans en pro et dans les 28 ans en perso.
Et précision ce n'est pas de l'automatique, je lance un script qui me montre ce qu'il va mettre à jour, fait la mise à jour à mon déclenchement, log toutes les versions changées dans le git, rollback si erreur, kexec restart si nécessaire.
Bref les concours d'uptime de N années c'est fini depuis longtemps mais là ça devient urgent :P
_______________________________________________ Liste de diffusion du French Sysadmin Group https://www.frsag.org/
On Thu, Jun 4, 2026 at 7:34 PM Wallace par FRsAG <frsag@frsag.org> wrote:
Le 04/06/2026 à 18:27, Stéphane Rivière par FRsAG a écrit :
Jusqu'au jour ou c'est cet agent qui sera le CVE :(
Exactement :)
Mettez à jour tous les jours et problème réglé, je fais cela depuis 16 ans en pro et dans les 28 ans en perso.
Et précision ce n'est pas de l'automatique, je lance un script qui me montre ce qu'il va mettre à jour, fait la mise à jour à mon déclenchement, log toutes les versions changées dans le git, rollback si erreur, kexec restart si nécessaire.
Bref les concours d'uptime de N années c'est fini depuis longtemps mais là ça devient urgent :P
Ou alors il faut utiliser le kernel grsec de spender ! Mon record d uptime est d un peu plus de 4 ans, sous gentoo hardened a l époque ou grsec était gratuit. c& devait être au début des années 2000. Si j ai bien compris, la quasi totalité des failles récentes sont inexistantes ou inutiles quand une utilise un kernel grsec :p
_______________________________________________ Liste de diffusion du French Sysadmin Group https://www.frsag.org/
Ven 05 juin 2026, à 19:41, neo futur par FRsAG a écrit :
Ou alors il faut utiliser le kernel grsec de spender ! Mon record d uptime est d un peu plus de 4 ans, sous gentoo hardened a l époque ou grsec était gratuit. c& devait être au début des années 2000. Si j ai bien compris, la quasi totalité des failles récentes sont inexistantes ou inutiles quand une utilise un kernel grsec :p
Deux gros problèmes avec grsec chez moi : - C’est facturé à la tête du client, - PaX génère des segfaults dans tous les sens Pour ma part j’ai abandonné. Ces patchs engendrent de gros changements sur le noyau qui ont un impact sur la stabilité et les perfs des machines, peu importe le workload. Je n’y ai pas touché depuis que c’est devenu payant cependant (mais je doute que ça ait changé). -- Jonathan Leroy
participants (9)
-
David Ponzone -
Frédéric MASSOT -
Jonathan Leroy -
neo futur -
Paul Rolland (ポール・ロラン) -
Pierre DOLIDON -
Stéphane Rivière -
Thierry Thomas -
Wallace