CVE-2016-4817
https://notcve.org/view.php?id=CVE-2016-4817
lib/http2/connection.c in H2O before 1.7.3 and 2.x before 2.0.0-beta5 mishandles HTTP/2 disconnection, which allows remote attackers to cause a denial of service (use-after-free and application crash) or possibly execute arbitrary code via a crafted packet. lib/http2/connection.c en H2O en versiones anteriores a 1.7.3 y 2.x en versiones anteriores a 2.0.0-beta5 no maneja correctamente desconexión de HTTP/2, lo que permite a atacantes remotos provocar una denegación de servicio (uso después de liberación de memoria y caída de aplicación) o posiblemente ejecutar código arbitrario a través de un paquete manipulado. • http://jvn.jp/en/jp/JVN87859762/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2016-000091 https://github.com/h2o/h2o/commit/1c0808d580da09fdec5a9a74ff09e103ea058dd4 https://github.com/h2o/h2o/pull/920 •
CVE-2016-1133
https://notcve.org/view.php?id=CVE-2016-1133
CRLF injection vulnerability in the on_req function in lib/handler/redirect.c in H2O before 1.6.2 and 1.7.x before 1.7.0-beta3 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via a crafted URI. Vulnerabilidad de inyección CRLF en la función on_req en lib/handler/redirect.c en H2O en versiones anteriores a 1.6.2 y 1.7.x en versiones anteriores a 1.7.0-beta3 permite a atacantes remotos inyectar cabeceras HTTP arbitrarias y realizar ataques de separación de respuestas HTTP a través de una URI manipulada. • http://jvn.jp/en/jp/JVN45928828/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2016-000003 https://github.com/h2o/h2o/issues/682 https://github.com/h2o/h2o/issues/684 https://h2o.examp1e.net/vulnerabilities.html#CVE-2016-1133 •