Bulletin d'alerte Debian
DLA-1718-1 sqlalchemy -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 18 mars 2019
- Paquets concernés :
- sqlalchemy
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 922669.
Dans le dictionnaire CVE du Mitre : CVE-2019-7164, CVE-2019-7548. - Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans SQLALchemy, une boîte à outils SQL et un mappeur objet-relationnel de Python.
- CVE-2019-7164
SQLAlchemy permettait une injection SGL à l’aide du paramètre order_by.
- CVE-2019-7548
SQLAlchemy possédait une injection SQL quand le paramètre group_by pouvait être contrôlé.
Le projet SQLAlchemy prévient que les correctifs de sécurité peuvent casser la fonction de contrainte de texte rarement utilisée.
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 0.9.8+dfsg-0.1+deb8u1.Nous vous recommandons de mettre à jour vos paquets sqlalchemy.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2019-7164