Vulnérabilité: CVE-2020-5236

Version Serveuse permet une attaque 1.4.2 DOS Lorsque la serveuse reçoit un en-tête qui contient des caractères non valides. Quand un en-tête comme « Bad-tête: xxxxxxxxxxxxxxx \ x10 » est reçu, il entraînera le moteur d’expression régulière à catastrophiquement provoquant backtrack le processus à utiliser le temps CPU à 100% et le blocage d’autres interactions. Cela permet à un attaquant d’envoyer une seule requête avec un en-tête non valide et prendre le service hors ligne. Cette question a été introduite dans la version 1.4.2 lorsque l’expression régulière a été mis à jour pour tenter de faire correspondre le comportement requis par les errata associés RFC7230. L’expression régulière qui est utilisé pour valider les en-têtes entrants a été mis à jour dans la version 1.4.3, il est recommandé que les gens passer à la nouvelle version de Waitress le plus tôt possible.


https://github.com/Pylons/waitress/security/advisories/GHSA-73m2-3pwg-5fgc
https://github.com/Pylons/waitress/commit/6e46f9e3f014d64dd7d1e258eaf626e39870ee1f
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5236


Il est possible de laisser un commentaire en tant qu'utilisateur enregistré du site, accédant par les réseaux sociaux, compte wordpress ou en tant qu'utilisateur anonyme. Si vous souhaitez laisser un commentaire en tant qu'utilisateur anonyme, vous serez informé par courrier électronique d'une réponse possible uniquement si vous saisissez votre adresse électronique (facultatif). L'inclusion de toute donnée dans les champs de commentaires est totalement facultative. Toute personne qui décide de saisir des données accepte le traitement de celles-ci pour les finalités inhérentes au service ou la réponse au commentaire et aux communications strictement nécessaires.


Laisser un commentaire