Des failles zero-day découvertes dans MySQL
Pouvant entraîner un crash du SGBD ou bloquer l'accès aux utilisateurs

Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux


 Discussion forum

Retrouvez le dossier complet de la rédaction
Sur le même sujet
Le , par Hinault Romaric, Responsable Actualités
Des chercheurs en sécurité viennent de découvrir plusieurs vulnérabilités critiques zero-day dans le gestionnaire de bases de données MySQL.

Identifiées au nombre de cinq initialement, c’est finalement trois failles qui se sont avérées être importantes.

Les vulnérabilités peuvent être exploitées par des pirates pour bloquer l’accès au SGBD à des utilisateurs et dans une certaine mesure, entrainer même un crash de MySQL.

Les failles de sécurité répertoriées sous les références allant de CVE-2012-5611 à 5615, sont décrites comme pouvant entrainer des dépassements de tampon, des augmentations de privilèges et des dénis de service.

Les conséquences de certaines failles sont cependant à relativiser. Selon Monty Program, éditeur de MariaDB, le fork de MySQL, ces vulnérabilités seraient connues et peuvent être évitées, car elles sont le résultat des erreurs de configuration de la base de données. Erreurs qui seraient par ailleurs assez fréquentes.

Le chercheur en sécurité Eric Romang de ZATAZ.com a publié une vidéo dans laquelle il montre comment les failles peuvent être exploitées sur un serveur mal configuré pour élever des privilèges.



Sergei Golubchik, le vice-président de Monty Program a déclaré que les travaux étaient déjà en cours pour apporter des correctifs à MariaDB. Oracle n’a encore fait aucun commentaire concernant MySQL.

Source : Zataz.com

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de CinePhil CinePhil
http://www.developpez.com
Modérateur
le 03/12/2012 13:30
La vidéo est floue et sans son chez moi !
Avatar de gok6tm gok6tm
http://www.developpez.com
Nouveau Membre du Club
le 03/12/2012 14:03
Il serait intéressant de lier le post de Sergei Golubchik de Monty Program et de préciser quelles sont les erreurs de configuration à ne pas commettre
Avatar de cbleas cbleas
http://www.developpez.com
Membre émérite
le 03/12/2012 15:33
bonjour,
Il serait intéressant de lier le post de Sergei Golubchik de Monty Program et de préciser quelles sont les erreurs de configuration à ne pas commettre

et mieux encore d'empecher de faire cette mauvaise configuration.
Avatar de Hinault Romaric Hinault Romaric
http://www.developpez.com
Responsable Actualités
le 04/12/2012 14:18
MariaDB corrige les failles zero-day dans MySQL
pouvant entraîner un crash du SGBD

Les développeurs de MariaDB ont fait preuve d’une grande réactivité pour corriger les failles zero-day dans MySQL.

Les failles avaient été découvertes récemment par des experts en sécurité, et elles pouvaient être exploitées par des pirates pour entraîner un crash du SGBD ou bloquer l’accès aux utilisateurs (lire ci-devant).

MariaDB 5.5.28a, 5.3.11, 5.2.13 et 5.1.66 disposent d'un correctif pour la vulnérabilité CVE 2012-5579, de type buffer overflow, pouvant planter le serveur de base de données ou permettre l’exécution de code arbitraire avec les mêmes privilèges que le processus de base de données.

Les développeurs du fork de MySQL ont déclaré que l’autre vulnérabilité (CVE 2012-5611) était juste une duplication de la faille CVE 2012-5579 qui avait été référencée séparément.

L’autre problème touchant le gestionnaire de base de données (CVE 2012-5613) ne serait pas vraiment un bug dans le code, mais plutôt une faille qui pourrait être exploitée suite à une mauvaise configuration. Le problème concerne le privilège qui permet aux utilisateurs de télécharger des fichiers vers la base de données ou d'utiliser MySQL pour stocker des fichiers dans un répertoire local.

Selon Sergei Golubchik, vice-président de Monty Program, tout au plus l’administrateur doit avoir ce droit, et l’option « secure-file-priv » du serveur peut également être utilisée pour limiter les opérations sur les fichiers d’un répertoire.

Oracle, l’éditeur de MySQL, n’a pas encore confirmé ces vulnérabilités ou publié de mise à jour.

Télécharger MariaDB

Source : Note de mise à jour
Offres d'emploi IT
Consultant developpeur/architect java
Freelance
Intuition IT - Ile de France - Versailles (78000)
Parue le 17/11/2014
H/F Consultant Test Automaticien HP QTP/UFT
CDI
Régions - Centre de Services National Sogeti - Aquitaine - Pessac (33) (33000)
Parue le 28/10/2014
Développeur asp.net c# (f/h)
CDI
Netwyse - Ile de France - Rungis (94150)
Parue le 05/11/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula