Bulletin d'alerte Debian

DSA-5087-1 cyrus-sasl2 -- Mise à jour de sécurité

Date du rapport :
25 février 2022
Paquets concernés :
cyrus-sasl2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2022-24407.
Plus de précisions :

Le greffon SQL dans cyrus-sasl2, une bibliothèque implémentant « SASL », la couche simple d'authentification et de sécurité, est prédisposé à une attaque d'injection SQL. Un attaquant distant authentifié peut tirer avantage de ce défaut pour exécuter des commandes SQL arbitraires et pour une élévation de privilèges.

Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 2.1.27+dfsg-1+deb10u2.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2.1.27+dfsg-2.1+deb11u1.

Nous vous recommandons de mettre à jour vos paquets cyrus-sasl2.

Pour disposer d'un état détaillé sur la sécurité de cyrus-sasl2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/cyrus-sasl2.