Bulletin d'alerte Debian

DLA-1633-1 sqlite3 -- Mise à jour de sécurité pour LTS

Date du rapport :

11 janvier 2019

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 867618, Bogue 893195.
Dans le dictionnaire CVE du Mitre : CVE-2017-2518, CVE-2017-2519, CVE-2017-2520, CVE-2017-10989, CVE-2018-8740.

Plus de précisions :

Plusieurs défauts ont été corrigés dans SQLite, un moteur de base de données SQL.

CVE-2017-2518
Un bogue d’utilisation de mémoire après libération dans l’optimiseur de requêtes peut provoquer un dépassement de tampon et un plantage d'application à l'aide d'une construction SQL contrefaite.
CVE-2017-2519
Une taille insuffisante du compte de référence dans les objets Table pourrait conduire à déni de service ou l'exécution de code arbitraire.
CVE-2017-2520
L’interface sqlite3_value_text() renvoyait un tampon trop petit pour contenir la chaîne compète plus le zéro terminal quand l’entrée était un zeroblob. Cela pourrait conduire à l’exécution de code arbitraire ou à un déni de service.
CVE-2017-10989
SQLite gérait incorrectement les blobs RTree sous-dimensionnés dans une base de données contrefaite menant à une lecture hors limites de tampon basé sur le tas ou éventuellement à un autre impact non précisé.
CVE-2018-8740
Les bases de données dont le schéma est corrompu, utilisant une construction CREATE TABLE AS pourraient causer un déréférencement de pointeur NULL.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.8.7.1-1+deb8u4.

Nous vous recommandons de mettre à jour vos paquets sqlite3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.