<div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le ven. 16 mai 2025 à 08:00, Salvatore Bonaccorso <<a href="mailto:carnil@debian.org" target="_blank">carnil@debian.org</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Jeremy,<br>
<br>
On Thu, May 15, 2025 at 10:50:34PM +0200, Jérémy Lal wrote:<br>
> Also <a href="https://nodejs.org/en/blog/release/v20.19.2/" rel="noreferrer" target="_blank">https://nodejs.org/en/blog/release/v20.19.2/</a><br>
> mentions<br>
> CVE-2024-27982 http: do not allow OBS fold in headers by default<br>
<br>
Question on this one, this was already fixed in v18.20.1 and we did<br>
got the fix included in 18.20.1+dfsg-1 correct? Did we lost the fix<br>
afterwards?<br></blockquote><div><br></div><div>Yes, the fix was applied April 2, 2024 on the 18.x branch.</div><div>No, it wasn't lost.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Do we likely have other such problems (maybe from the april 2024<br>
release CVEs)?<br></blockquote><div><br></div><div><div>This looks more likely to be badly generated changelog, because</div><div><a href="https://github.com/nodejs/node/commits/v20.x/deps/llhttp">https://github.com/nodejs/node/commits/v20.x/deps/llhttp</a></div><div>shows that the patch has been applied to branch 20.x in april 2024,</div><div>then in the same minute after llhttp update the patch is reapplied, so there's no mistake.</div></div><div><br></div><div>So CVE-2024-27982 has always stayed fixed, and we can forget about it.</div><div><br></div><div>Jérémy</div></div></div>
</div>