Bulletin d'alerte Debian

DSA-1757-1 auth2db -- Injection SQL

Date du rapport :
30 mars 2009
Paquets concernés :
auth2db
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 521823.
Plus de précisions :

auth2db, un journaliseur d'IDS, visualiseur de fichiers de log et générateur d'alertes, est prédisposé à une vulnérabilité par injection SQL quand des encodages ayant des caractères sur plusieurs octets sont utilisés.

La distribution oldstable (Etch) ne contient pas auth2db.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.2.5-2+dfsg-1+lenny1.

Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.2.5-2+dfsg-1.1.

Nous vous recommandons de mettre à jour vos paquets auth2db.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/a/auth2db/auth2db_0.2.5-2+dfsg-1+lenny1.dsc
http://security.debian.org/pool/updates/main/a/auth2db/auth2db_0.2.5-2+dfsg.orig.tar.gz
http://security.debian.org/pool/updates/main/a/auth2db/auth2db_0.2.5-2+dfsg-1+lenny1.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/a/auth2db/auth2db_0.2.5-2+dfsg-1+lenny1_all.deb
http://security.debian.org/pool/updates/main/a/auth2db/auth2db-filters_0.2.5-2+dfsg-1+lenny1_all.deb
http://security.debian.org/pool/updates/main/a/auth2db/auth2db-common_0.2.5-2+dfsg-1+lenny1_all.deb
http://security.debian.org/pool/updates/main/a/auth2db/auth2db-frontend_0.2.5-2+dfsg-1+lenny1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.