Bulletin d'alerte Debian
DSA-1780-1 libdbd-pg-perl -- Plusieurs vulnérabilités
- Date du rapport :
- 28 avril 2009
- Paquets concernés :
- libdbd-pg-perl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2009-0663, CVE-2009-1341.
- Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans libdbd-pg-perl, le module du pilote DBI pour accéder à la base de données PostgreSQL (DBD::Pg).
- CVE-2009-0663
Un dépassement de tampon pourrait permettre aux attaquants d'exécuter du code arbitraire à travers les applications lisant les lignes de la base de données grâce aux fonctions pg_getline et getline (les méthodes de récupération plus courantes, comme selectall_arrayref et fetchrow_array, ne sont pas affectées).
- CVE-2009-1341
Une fuite de mémoire dans la routine qui retire les guillemets (unquote) des valeurs BYTEA renvoyées par la base de données permet aux attaquants de provoquer un déni de service.
Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.49-2+etch1.
Pour la distribution stable (Lenny) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.1.3-1 avant la sortie de Lenny.
Nous vous recommandons de mettre à jour votre paquet libdbd-pg-perl.
- CVE-2009-0663
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49.orig.tar.gz
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1.diff.gz
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1.dsc
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1.diff.gz
- AMD64:
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/libd/libdbd-pg-perl/libdbd-pg-perl_1.49-2+etch1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.