Debian dsa-5995 : libhsqldb1.8.0-java - セキュリティ更新

medium Nessus プラグイン ID 264501

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 13 ホストには、dsa-5995 アドバイザリで言及されている脆弱性の影響を受けるパッケージがインストールされています。

- -------------------------------------------------- -------------------------- Debian セキュリティアドバイザリ DSA-5995-1 [email protected] https://www.debian.org/security/Moritz 2025 年 9 月 10 日 [] Muehlenhoff https://www.debian.org/security/faq
- -------------------------------------------------------------------------

パッケージhsqldb1.8.0 CVE ID CVE-2023-1183

Secfault Security GmbH の Gregor Kopf 氏は、Java SQL データベースエンジンである HSQLDB が .script および .log ファイルの偽造スクリプトコマンドの実行を許可していたことを発見しました。Hsqldb は SCRIPT キーワードをサポートしています。このキーワードは通常、データベース管理者がそのようなスクリプトを出力するコマンド入力を記録するために使用されます。LibreOffice と組み合わせて、攻撃者はデータベース/スクリプトファイルを含む odb を作成し、これ自体が SCRIPT コマンドを含んでいる場合、ファイルのコンテンツが攻撃者によって決定される場所に新しいファイルに書き込まれる可能性があります。

安定版stableディストリビューションtrixieでは、この問題はバージョン 1.8.0.10+dfsg-12.1+deb13u1 で修正されています。

hsqldb1.8.0 パッケージをアップグレードすることを推奨します。

hsqldb1.8.0 の詳細なセキュリティステータスについては、下記のセキュリティトラッカーページを参照してください
https://security-tracker.debian.org/tracker/hsqldb1.8.0

Debian セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://www.debian.org/security/

メーリングリスト: [email protected]

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。