Sikkerhedsoplysninger / 2022 / Sikkerhedsoplysninger -- DSA-5196-1 libpgjava

Debians sikkerhedsbulletin

DSA-5196-1 libpgjava -- sikkerhedsopdatering

Rapporteret den:

31. jul 2022

Berørte pakker:

libpgjava

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 962828.
I Mitres CVE-ordbog: CVE-2020-13692, CVE-2022-21724, CVE-2022-26520.

Yderligere oplysninger:

Flere sikkerhedssårbarheder er fundet i libpgjava, den officielle PostgreSQL JDBC-driver.

• CVE-2020-13692

  En XML External Entity-svaghed (XXE) blev fundet i PostgreSQL JDBC.

• CVE-2022-21724

  JDBC-driveren kontrollerede ikke om visse klasser implementerede det forventede interface, før klassen blev instantieret. Det kunne føre til udførelse af kode gennem vilkårlige klasser.

• CVE-2022-26520

  En angriber (som kontrollerer jdbc-URLen eller -egenskaber) kunne kalde java.util.logging.FileHandler til at skrive til vilkårlige filer gennem loggerFile- og loggerLevel-forbindelsesegenkaber.

I den gamle stabile distribution (buster), er disse problemer rettet i version 42.2.5-2+deb10u1.

I den stabile distribution (bullseye), er disse problemer rettet i version 42.2.15-1+deb11u1.

Vi anbefaler at du opgraderer dine libpgjava-pakker.

For detaljeret sikkerhedsstatus vedrørende libpgjava, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/libpgjava