Säkerhetsbulletin från Debian

DSA-2449-1 sqlalchemy -- saknad rengöring av indata

Rapporterat den:
2012-04-12
Berörda paket:
sqlalchemy
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-0805.
Ytterligare information:

Man har upptäckt att SQLAlchemy, en SQL-verktygslåda och objektrelationsmappare för Python inte rengör indata som skickats till limit/offset-nyckelorden till select() så väl som värdet som skickats till select.limit()/offset(). Detta tillåter en angripare att utföra SQL-injektionsangrepp mot applikationer som använder SQLAlchemy som inte implementerar sin egen filtrering.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 0.6.3-3+squeeze1.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 0.6.7-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 0.6.7-1.

Vi rekommenderar att ni uppgraderar era sqlalchemy-paket.