+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Coriolan
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2016
    Messages
    355
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Maroc

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 355
    Points : 8 602
    Points
    8 602

    Par défaut Faille de sécurité : MySQL peut donner les privilèges root à des hackers

    Faille de sécurité : MySQL peut donner les privilèges root à des hackers


    MySQL fait partie des systèmes de gestion de bases de données les plus utilisés du monde, que ça soit par le grand public ou par les professionnels. De nombreuses entreprises comme Google, Facebook, Yahoo, YouTube, Adobe, l’utilisent encore pour gagner du temps et faire tourner leurs larges sites web, malgré l’émergence et la montée en puissance de nouvelles solutions, notamment les systèmes de gestion de bases de données NoSQL. MySQL est également plébiscité par les petites entreprises en raison de son prix d'implantation nettement inférieur, qui fait de ce système une solution simple et peu onéreuse à mettre en œuvre pour des applications non critiques.

    Le chercheur de sécurité polonais Dawid Golunsku a dévoilé deux vulnérabilités dans MySQL, compromettant la sécurité des serveurs. Le chercheur a détaillé l’une des failles de sécurité et a décrit sa méthode d’exploitation. Oracle n’a toujours pas corrigé les deux vulnérabilités, malgré le fait qu’elles ont été signalées il y a plus de quarante jours.

    La première vulnérabilité affecte « tous les serveurs MySQL en configuration par défaut dans toutes les versions de MySQL (5.7, 5.6 et 5.5), dont les dernières versions ». Les variantes liées à MySQL, MariaDB et PerconaDB, n’ont pas été épargnées par cette vulnérabilité, néanmoins, des correctifs leur ont été appliqués.

    « Une exploitation réussie [de la vulnérabilité CVE-2016-6662] permettrait à un attaquant d'exécuter du code arbitraire avec les privilèges root, ce qui lui permettrait de compromettre entièrement le serveur », explique le chercheur. La faille CVE-2016-6662 peut être exploitée si un hacker a accès à une connexion authentifiée à une base de données MySQL (à travers une connexion réseau ou une interface web comme phpMyAdmin) ou une injection SQL, même avec les modules SELinux et AppArmor installés. Les attaquants peuvent injecter des réglages malicieux dans les fichiers de configuration MySQL, my.cnf, le but étant d’acquérir l’accès root et d'exécuter un code malicieux additionnel. Cette vulnérabilité fait surface 13 ans après qu’un correctif avait été déployé pour remédier à un problème similaire.

    Le chercheur a révélé également l’existence d’une seconde faille, néanmoins il n’est pas entré en détail sur la méthode de son exploitation. « Il est à noter que des attaquants peuvent utiliser l'une des autres failles découvertes par l'auteur de ce bulletin, auquel a été assigné l'identifiant CVE CVE-2016-6663 et est en attente de publication. Cette faille facilite la création d'un fichier /var/lib/mysql/my.cnf au contenu arbitraire, sans besoin du privilège FILE ».

    Oracle n’a toujours pas adressé officiellement ces vulnérabilités, même si un correctif de sécurité a été publié il y a quelques jours, afin de limiter le risque. Il parait qu’Oracle a secrètement corrigé quelques bogues révélés par Golunski, en limitant les emplacements valides pour charger une bibliothèque au démarrage du service incriminé et en empêchant la génération des fichiers de configuration .ini ou .cnf par la base de données. Même avec ce correctif (MySQL 5.6.33, 5.7.15 et 5.5.52 ?) , le risque reste élevé, surtout avec la persistance d’une deuxième faille non encore détaillée. Si Golunski a révélé l’existence de la vulnérabilité après un mois et demi, avec un prototype limité, c’est pour mettre en garde les utilisateurs afin qu’ils puissent se protéger.

    Il faut rappeler que des forks de MySQL, comme par exemple MariaDB et PerconaDB, ont été aussi notifiés de l’existence de la vulnérabilité, et ont déjà pu déployer des correctifs pour corriger les deux failles.


    Source : Legalhackers

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Forum Sécurité

  2. #2
    Expert confirmé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    février 2005
    Messages
    3 379
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : février 2005
    Messages : 3 379
    Points : 5 413
    Points
    5 413

    Par défaut

    Les variantes liées à MySQL, MariaDB et PerconaDB, n’ont pas été épargnées par cette vulnérabilité, néanmoins, des correctifs leur ont été appliqués.
    Ce qui me paraît étonnant c'est que les fork ont été patché mais qu'Oracle traîne des claquettes.
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  3. #3
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    446
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 446
    Points : 682
    Points
    682

    Par défaut Titre de la news

    Oracle n'a toujours pas patché sa version de MySQL mais les fork MariaDB et PerconaDB sont corrigé. Le titre de la news est ambigüe on a l'impression que le problème est MySQL. Alors que la source du problème c'est Oracle qui après avoir racheté SUN fait tout pour discréditer les projets open-Sources...
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  4. #4
    Membre expérimenté
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    299
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : janvier 2014
    Messages : 299
    Points : 1 687
    Points
    1 687

    Par défaut

    C'est fait exprès, les commerciaux Oracle appellent tous les compte MySQL pour les faire migrer à Oracle et les faire payer des millions en licences Oracle, c'était le but depuis le début, MysQL ils en ont rien à carrer, pas plus que de Java.

    L'important c'est le racket , et de donner des milliards aux actionnaires pour faire monter le prix des options et faire gagner des centaines de millions en options aux dirigeants !


    Haha vive le capitalisme triomphant !

  5. #5
    Expert éminent

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    avril 2002
    Messages
    1 077
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : Luxembourg

    Informations professionnelles :
    Activité : Directeur des systèmes d'information
    Secteur : Finance

    Informations forums :
    Inscription : avril 2002
    Messages : 1 077
    Points : 6 993
    Points
    6 993

    Par défaut

    Citation Envoyé par abriotde Voir le message
    Le titre de la news est ambigüe on a l'impression que le problème est MySQL. Alors que la source du problème c'est Oracle qui après avoir racheté SUN fait tout pour discréditer les projets open-Sources...
    En quoi c'est ambigue "MySQL" ?
    Le nom "MySQL" appartient bien à Oracle, les forks ne s'appellent pas "MySQL", mais mariadb, Percona Server, Drizzle...

    Pour le reste tu as raison...
    Ne prenez pas la vie au sérieux, vous n'en sortirez pas vivant ...

  6. #6
    Membre émérite

    Homme Profil pro
    Justicier
    Inscrit en
    avril 2006
    Messages
    582
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 77
    Localisation : France

    Informations professionnelles :
    Activité : Justicier
    Secteur : Service public

    Informations forums :
    Inscription : avril 2006
    Messages : 582
    Points : 2 422
    Points
    2 422
    Billets dans le blog
    1

    Par défaut

    Il semblerait que les patchs pour MySQL sont maintenant disponibles, je les ai installés sur mes serveurs via le dépôt debian proposé par Oracle.

    C'est expliqué ici : https://www.percona.com/blog/2016/09...cve-2016-6662/

    MySQL fixes
    You aren’t affected if you use version 5.5.52, 5.6.33 or 5.7.15.

    The following Percona Server versions have this fix:

    5.5.51-38.1
    5.6.32-78.0
    5.7.14-7

    MariaDB has fixed the issue in 5.5.51, 10.1.17 and 10.0.27

  7. #7
    Expert éminent

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    avril 2002
    Messages
    1 077
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : Luxembourg

    Informations professionnelles :
    Activité : Directeur des systèmes d'information
    Secteur : Finance

    Informations forums :
    Inscription : avril 2002
    Messages : 1 077
    Points : 6 993
    Points
    6 993

    Par défaut

    Le correctif est il complet ou partiel ?

    Il parait qu’Oracle a secrètement corrigé quelques bogues révélés par Golunski, en limitant les emplacements valides pour charger une bibliothèque au démarrage du service incriminé et en empêchant la génération des fichiers de configuration .ini ou .cnf par la base de données. Même avec ce correctif (MySQL 5.6.33, 5.7.15 et 5.5.52 ?) , le risque reste élevé, surtout avec la persistance d’une deuxième faille non encore détaillée. Si Golunski a révélé l’existence de la vulnérabilité après un mois et demi, avec un prototype limité, c’est pour mettre en garde les utilisateurs afin qu’ils puissent se protéger.
    Ne prenez pas la vie au sérieux, vous n'en sortirez pas vivant ...

  8. #8
    Expert confirmé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    février 2005
    Messages
    3 379
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : février 2005
    Messages : 3 379
    Points : 5 413
    Points
    5 413

    Par défaut

    Et c'est là que je comprend pas. Pourquoi tenté de faire passer discrètement là ou les autres ont fait quelque chose de concret et publiquement.
    Je suis d'accord avec @Mingolito, Oracle ne cherche pas à faire évoluer Mysql ça va faire 11 ans que la version 5 existe. Par contre, je doute qu'Oracle cherche à faire les utilisateurs de Mysql à Oracle. Si j'ai bien lu Oracle SQL n'est pas un serveur de base de données mais un IDE pour Oracle. Il y a quasiment aucune présence d'Oracle chez les hébergeurs, les ressources ne sont pas là ou du moins pas aussi nombreux que Mysql.
    Celui qui peut tirer son épingle dans cette affaire c'est PosgtGresql. Dommage qu'ils soit si difficile de trouver un hébergeur ayant pignons sur le web pouvant le proposer.
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  9. #9
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 467
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 467
    Points : 7 992
    Points
    7 992

    Par défaut

    Citation Envoyé par Mingolito Voir le message
    C'est fait exprès, les commerciaux Oracle appellent tous les compte MySQL pour les faire migrer à Oracle SQL et les faires payer des millions en licences Oracle, c'était le but depuis le début, MySQL ils en ont rien à carrer, pas plus que de Java.
    Autant je ne suis pas fan d'Oracle et de sa gestion de l'open source, autant je ne crois pas une seconde qu'ils espèrent qu'un sabordage de MySQL profite a sa base de donnée historique. Ceux qui abandonnent MySQL à cause de sa mauvaise qualité on peu de chance de se laisser attirer par un produit de la même société. De plus il faut voir que les produits sont assez différents, en matière de capacité, simplicité, prix, ...

    Ceux qui abandonnent MySQL vont plutôt regarder les solutions de niveau équivalent comme MariaDB (avec lequel la transition sera très simple, vu que c'est un fork) ou PostgreSQL.

  10. #10
    ovh
    ovh est déconnecté
    Rédacteur
    Avatar de ovh
    Homme Profil pro
    Lead developer web full stack
    Inscrit en
    mai 2002
    Messages
    3 814
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Lead developer web full stack

    Informations forums :
    Inscription : mai 2002
    Messages : 3 814
    Points : 6 389
    Points
    6 389

    Par défaut

    Citation Envoyé par Coriolan Voir le message
    De nombreuses entreprises comme Google, Facebook, Yahoo, YouTube, Adobe, l’utilisent encore pour gagner du temps et faire tourner leurs larges sites web, malgré l’émergence et la montée en puissance de nouvelles solutions, notamment les systèmes de gestion de bases de données NoSQL.
    Il serait temps d'arrêter avec cette fausse idée que le nosql est là pour remplacer les bases de données relationnelles, c'est totalement faux !
    A tous ceux qui croient cela, je les invite à lire cet excellent article :
    http://www.sarahmei.com/blog/2013/11...r-use-mongodb/

    Le nosql répond à des usages différents et n'est pas adapté pour stocker des données qui sont relationnelles par nature (et la majorité des données des applications, web ou autres, sont bel et bien relationnelles). Le nosql est plutôt fait pour stocker des données "brutes" en masse, telles que des logs.

    Tutoriels sur les UPS, e-commerce, PHP, critiques de livres...

    Pensez à consulter les FAQs et les cours et tutoriels.
    FAQ Linux - Cours et tutoriels Linux - FAQ PHP - Cours et tutoriels PHP
    Ce forum est fait pour vous et surtout par vous, merci d'en respecter les règles.

    Je n'ai rien à voir avec la société www.ovh.com !

  11. #11
    Membre à l'essai Avatar de gerard093
    Homme Profil pro
    Professeur
    Inscrit en
    mai 2012
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Professeur
    Secteur : Enseignement

    Informations forums :
    Inscription : mai 2012
    Messages : 10
    Points : 10
    Points
    10

Discussions similaires

  1. Réponses: 5
    Dernier message: 31/08/2010, 11h20
  2. afficher les privilèges d'une base de données mysql
    Par lamou23 dans le forum Administration
    Réponses: 3
    Dernier message: 20/07/2010, 05h14
  3. [Lazarus] [Mac OS X] Obtenir les privilèges root
    Par sinfoni dans le forum Lazarus
    Réponses: 0
    Dernier message: 18/05/2010, 17h48
  4. Réponses: 21
    Dernier message: 17/08/2009, 16h46
  5. [Mauvaise nouvelle]Wall-Mart retire les PCs avec Linux
    Par souviron34 dans le forum Linux
    Réponses: 1
    Dernier message: 13/03/2008, 13h48

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo