Bulletin d'alerte Debian

DLA-2203-1 sqlite3 -- Mise à jour de sécurité pour LTS

Date du rapport :
5 mai 2020
Paquets concernés :
sqlite3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-11655.
Plus de précisions :

Il a été découvert qu’il existait une attaque par déni de service dans la base de données SQLite, souvent incorporée dans d’autres programmes ou serveurs.

Dans l’éventualité d’une erreur de sémantique dans une requête aggregate, SQLite ne renvoie pas rapidement les résultats de la fonction resetAccumulator(), ce qui pourrait conduire à un plantage à cause d’une erreur de segmentation.

  • CVE-2020-11655

    SQLite jusqu’à la version 3.31.1 permet à des attaquants de provoquer un déni de service (erreur de segmentation) à l'aide d'une requête de fonction de fenêtrage mal formée à cause d’une initialisation d’objet AggInfo mal gérée.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.8.7.1-1+deb8u5.

Nous vous recommandons de mettre à jour vos paquets sqlite3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.