Bulletin d'alerte Debian

DLA-543-1 sqlite3 -- Mise à jour de sécurité pour LTS

Date du rapport :
6 juillet 2016
Paquets concernés :
sqlite3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-6153.
Plus de précisions :

sqlite3, une bibliothèque C qui implémente un moteur de base de données SQL, rejetterait un répertoire temporaire (par exemple, comme spécifié par la variable d'environnement TMPDIR) pour lequel l'utilisateur exécutant la base n'aurait pas les permissions de lecture. Cela pourrait avoir pour conséquence une fuite d'informations dans la mesure où des répertoires temporaires globaux moins sûrs (par exemple, /var/tmp ou /tmp) pourraient être utilisés à la place.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 3.7.13-1+deb7u3.

Nous vous recommandons de mettre à jour vos paquets sqlite3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.