Bulletin d'alerte Debian

DSA-5196-1 libpgjava -- Mise à jour de sécurité

Date du rapport :
31 juillet 2022
Paquets concernés :
libpgjava
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 962828.
Dans le dictionnaire CVE du Mitre : CVE-2020-13692, CVE-2022-21724, CVE-2022-26520.
Plus de précisions :

Plusieurs vulnérabilités sécurité ont été découvertes dans libpgjava, le pilote JDBC officiel de PostgreSQL.

  • CVE-2020-13692

    Une faiblesse d'entité externe XML (XXE) a été découverte dans le pilote JDBC de PostgreSQL.

  • CVE-2022-21724

    Le pilote JDBC ne vérifiait si certaines classes implémentaient l'interface attendue avant d'instancier la classe. Cela peut conduire à l'exécution de code à l'aide de classes arbitraires.

  • CVE-2022-26520

    Un attaquant qui contrôle l'URL ou les propriétés de jdbc peut appeler java.util.logging.FileHandler pour écrire dans des fichiers arbitraires au moyen des propriétés de connexion loggerFile et loggerLevel.

Pour la distribution oldstable (Buster), ces problèmes ont été corrigés dans la version 42.2.5-2+deb10u1.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 42.2.15-1+deb11u1.

Nous vous recommandons de mettre à jour vos paquets libpgjava.

Pour disposer d'un état détaillé sur la sécurité de libpgjava, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libpgjava.