Bulletin d'alerte Debian

DLA-1374-1 firebird2.5 -- Mise à jour de sécurité pour LTS

Date du rapport :
11 mai 2018
Paquets concernés :
firebird2.5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-11509.
Plus de précisions :

Un attaquant distant authentifié peut exécuter du code arbitraire dans le serveur SQL Firebird, versions 2.5.7 et 3.0.2 en exécutant une instruction SQL malformée. La seule solution connue est de désactiver le chargement des bibliothèques UDF. Pour cela, la configuration par défaut a été modifiée à UdfAccess=None. Cela empêchera le module fbudf d’être chargé, mais cela peut briser d’autres fonctionnalités reposant sur des modules.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.5.2.26540.ds4-1~deb7u4.

Nous vous recommandons de mettre à jour vos paquets firebird2.5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.