Bulletin d'alerte Debian
DSA-5196-1 libpgjava -- Mise à jour de sécurité
- Date du rapport :
- 31 juillet 2022
- Paquets concernés :
- libpgjava
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 962828.
Dans le dictionnaire CVE du Mitre : CVE-2020-13692, CVE-2022-21724, CVE-2022-26520. - Plus de précisions :
-
Plusieurs vulnérabilités sécurité ont été découvertes dans libpgjava, le pilote JDBC officiel de PostgreSQL.
- CVE-2020-13692
Une faiblesse d'entité externe XML (XXE) a été découverte dans le pilote JDBC de PostgreSQL.
- CVE-2022-21724
Le pilote JDBC ne vérifiait si certaines classes implémentaient l'interface attendue avant d'instancier la classe. Cela peut conduire à l'exécution de code à l'aide de classes arbitraires.
- CVE-2022-26520
Un attaquant qui contrôle l'URL ou les propriétés de jdbc peut appeler java.util.logging.FileHandler pour écrire dans des fichiers arbitraires au moyen des propriétés de connexion loggerFile et loggerLevel.
Pour la distribution oldstable (Buster), ces problèmes ont été corrigés dans la version 42.2.5-2+deb10u1.
Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 42.2.15-1+deb11u1.
Nous vous recommandons de mettre à jour vos paquets libpgjava.
Pour disposer d'un état détaillé sur la sécurité de libpgjava, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libpgjava.
- CVE-2020-13692