Vulnerabilità: CVE-2020-5236

Cameriera versione 1.4.2 permette un attacco DOS Quando cameriera riceve un colpo di testa che contiene caratteri non validi. Quando un colpo di testa come ""Bad-intestazione: xxxxxxxxxxxxxxx \ x10"" viene ricevuto, farà sì che il motore delle espressioni regolari per catastroficamente backtrack causando il processo di usare il 100% il tempo di CPU e bloccando eventuali altre interazioni. In questo modo un utente malintenzionato di inviare una singola richiesta con un’intestazione non valida e prendere la linea di servizio. Questo problema è stato introdotto nella versione 1.4.2, quando l’espressione regolare è stato aggiornato per tentare di abbinare il comportamento richiesto dalla errata associato con RFC7230. L’espressione regolare che viene utilizzato per convalidare le intestazioni in entrata è stato aggiornato nella versione 1.4.3, si raccomanda che la gente l’aggiornamento alla nuova versione di Cameriera al più presto possibile.


https://github.com/Pylons/waitress/security/advisories/GHSA-73m2-3pwg-5fgc
https://github.com/Pylons/waitress/commit/6e46f9e3f014d64dd7d1e258eaf626e39870ee1f
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5236


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi