Bulletin d'alerte Debian

DLA-3018-1 libpgjava -- Mise à jour de sécurité pour LTS

Date du rapport :
20 mai 2022
Paquets concernés :
libpgjava
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2022-21724.
Plus de précisions :

Il a été découvert que libpgjava, le pilote JDBC officiel de PostgreSQL, pouvait être vulnérable si un attaquant contrôlait l'URL ou les propriétés de JDBC. Le pilote JDBC ne vérifiait pas si certaines classes implémentaient l'interface attendue avant d'instancier la classe. Cela peut conduire à l'exécution de code à l'aide de classes arbitraires.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 9.4.1212-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets libpgjava.

Pour disposer d'un état détaillé sur la sécurité de libpgjava, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libpgjava.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.