Version Serveuse permet une attaque 1.4.2 DOS Lorsque la serveuse reçoit un en-tête qui contient des caractères non valides. Quand un en-tête comme « Bad-tête: xxxxxxxxxxxxxxx \ x10 » est reçu, il entraînera le moteur d’expression régulière à catastrophiquement provoquant backtrack le processus à utiliser le temps CPU à 100% et le blocage d’autres interactions. Cela permet à un attaquant d’envoyer une seule requête avec un en-tête non valide et prendre le service hors ligne. Cette question a été introduite dans la version 1.4.2 lorsque l’expression régulière a été mis à jour pour tenter de faire correspondre le comportement requis par les errata associés RFC7230. L’expression régulière qui est utilisé pour valider les en-têtes entrants a été mis à jour dans la version 1.4.3, il est recommandé que les gens passer à la nouvelle version de Waitress le plus tôt possible.
https://github.com/Pylons/waitress/security/advisories/GHSA-73m2-3pwg-5fgc
https://github.com/Pylons/waitress/commit/6e46f9e3f014d64dd7d1e258eaf626e39870ee1f
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5236
