Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des failles zero-day découvertes dans MySQL
Pouvant entraîner un crash du SGBD ou bloquer l'accès aux utilisateurs

Le , par Hinault Romaric

40PARTAGES

7  0 
Des chercheurs en sécurité viennent de découvrir plusieurs vulnérabilités critiques zero-day dans le gestionnaire de bases de données MySQL.

Identifiées au nombre de cinq initialement, c’est finalement trois failles qui se sont avérées être importantes.

Les vulnérabilités peuvent être exploitées par des pirates pour bloquer l’accès au SGBD à des utilisateurs et dans une certaine mesure, entrainer même un crash de MySQL.

Les failles de sécurité répertoriées sous les références allant de CVE-2012-5611 à 5615, sont décrites comme pouvant entrainer des dépassements de tampon, des augmentations de privilèges et des dénis de service.

Les conséquences de certaines failles sont cependant à relativiser. Selon Monty Program, éditeur de MariaDB, le fork de MySQL, ces vulnérabilités seraient connues et peuvent être évitées, car elles sont le résultat des erreurs de configuration de la base de données. Erreurs qui seraient par ailleurs assez fréquentes.

Le chercheur en sécurité Eric Romang de ZATAZ.com a publié une vidéo dans laquelle il montre comment les failles peuvent être exploitées sur un serveur mal configuré pour élever des privilèges.



Sergei Golubchik, le vice-président de Monty Program a déclaré que les travaux étaient déjà en cours pour apporter des correctifs à MariaDB. Oracle n’a encore fait aucun commentaire concernant MySQL.

Source : Zataz.com

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de gok6tm
Nouveau membre du Club https://www.developpez.com
Le 03/12/2012 à 14:03
Il serait intéressant de lier le post de Sergei Golubchik de Monty Program et de préciser quelles sont les erreurs de configuration à ne pas commettre
6  0 
Avatar de CinePhil
Modérateur https://www.developpez.com
Le 03/12/2012 à 13:30
La vidéo est floue et sans son chez moi !
0  0 
Avatar de cbleas
Membre éprouvé https://www.developpez.com
Le 03/12/2012 à 15:33
bonjour,
Il serait intéressant de lier le post de Sergei Golubchik de Monty Program et de préciser quelles sont les erreurs de configuration à ne pas commettre
et mieux encore d'empecher de faire cette mauvaise configuration.
0  0