Рекомендация Debian по безопасности

DSA-2449-1 sqlalchemy -- отсутствие очистки ввода

Дата сообщения:
12.04.2012
Затронутые пакеты:
sqlalchemy
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-0805.
Более подробная информация:

Было обнаружено, что SQLAlchemy, набор инструментов SQL и служба объектно-реляционного отображения для Python, не выполняет очистку входных данных, передаваемых ключевым словам limit/offset для функции select(), а также значения, передаваемого методам select.limit()/offset(). Это позволяет злоумышленнику выполнять SQL-инъекции в приложениях, использующих SQLAlchemy и не имеющих собственной фильтрации.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 0.6.3-3+squeeze1.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 0.6.7-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.6.7-1.

Рекомендуется обновить пакеты sqlalchemy.