Debians sikkerhedsbulletin

DSA-2449-1 sqlalchemy -- manglende fornuftighedskontrol af inddata

Rapporteret den:
12. apr 2012
Berørte pakker:
sqlalchemy
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-0805.
Yderligere oplysninger:

Man opdagede, at SQLAlchemy, et SQL-værktøjssæt og -objekt-relationsmapper til Python, ikke fornuftighedskontrollerede inddata overført til keyword'ene limit/offset til select() så vel som værdien overført til select.limit()/offset(). Dermed var det muligt for en angriber at udføre SQL-indsprøjtningsangreb mod applikationer, som anvender SQLAlchemy og som ikke har implementeret deres egen filtrering.

I den stabile distribution (squeeze), er dette problem rettet i version 0.6.3-3+squeeze1.

I distributionen testing (wheezy), er dette problem rettet i version 0.6.7-1.

I den ustabile distribution (sid), er dette problem rettet i version 0.6.7-1.

Vi anbefaler at du opgraderer dine sqlalchemy-pakker.