Bulletin d'alerte Debian

DSA-2449-1 sqlalchemy -- Absence de vérification des entrées

Date du rapport :
12 avril 2012
Paquets concernés :
sqlalchemy
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0805.
Plus de précisions :

SQLAlchemy, une boîte à outils SQL et de mapping objet-relationnel pour Python, ne vérifie pas l'entrée passée aux mots-clés limit ou offset à select() ni la valeur passée à select.limit() ou offset(). Cela permet à un attaquant de réaliser des attaques d'injection SQL contre les applications utilisant SQLAlchemy sans implémenter leur propre filtrage.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.6.3-3+squeeze1.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 0.6.7-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.6.7-1.

Nous vous recommandons de mettre à jour vos paquets sqlalchemy.