LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2786-1 nghttp2

Bulletin d'alerte Debian

DLA-2786-1 nghttp2 -- Mise à jour de sécurité pour LTS

Date du rapport :

16 octobre 2021

Paquets concernés :

nghttp2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-1000168, CVE-2020-11080.

Plus de précisions :

Deux problèmes de sécurité ont été découverts dans nghttp2 : serveur, mandataire et client mettant en œuvre HTTP/2.

• CVE-2018-1000168

  Une vulnérabilité CWE-20 de validation incorrecte d’entrée a été trouvée dans le traitement de trame ALTSVC, qui pourrait provoquer une erreur de segmentation conduisant à un déni de service. Cette attaque paraît exploitable à l’aide d’un client réseau.

• CVE-2020-11080

  Une charge excessivement large de trame HTTP/2 SETTINGS provoque un déni de service. Le concept de l’attaque peut être démontré en faisant appel à un client malveillant construisant une trame SETTINGS avec une longueur de 14 400 octets (2 400 entrées de réglage individuelles) encore et encore. Cette attaque induit un pic d'utilisation du CPU à 100 %.

Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans la version 1.18.1-1+deb9u2.

Nous vous recommandons de mettre à jour vos paquets nghttp2.

Pour disposer d'un état détaillé sur la sécurité de nghttp2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/nghttp2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.