LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2386-1 libdbi-perl

Bulletin d'alerte Debian

DLA-2386-1 libdbi-perl -- Mise à jour de sécurité pour LTS

Date du rapport :

28 septembre 2020

Paquets concernés :

libdbi-perl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-20919, CVE-2020-14392, CVE-2020-14393.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Perl5 Database Interface (DBI). Un attaquant pourrait déclencher un déni de service (DoS) et éventuellement exécuter du code arbitraire.

• CVE-2019-20919

  La documentation de hv_fetch() demande une vérification pour NULL et le code le réalise. Mais, peu de temps après, il appelle SvOK(profile), provoquant un déréférencement de pointeur NULL.

• CVE-2020-14392

  Un défaut de déréférencement de pointeur non fiable a été découvert dans Perl-DBI. Un attaquant local capable de manipuler des appels à dbd_db_login6_sv() pourrait causer une corruption de mémoire, affectant la disponibilité du service.

• CVE-2020-14393

  Un dépassement de tampon à l'aide d'un nom de classe DBD trop long dans la fonction dbih_setup_handle pourrait conduire à l’écriture de données au-delà de la limite voulue.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.636-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets libdbi-perl.

Pour disposer d'un état détaillé sur la sécurité de libdbi-perl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libdbi-perl.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.