IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

MySQL Discussion :

Des failles zero-day découvertes dans MySQL


Sujet :

MySQL

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Des failles zero-day découvertes dans MySQL
    Des failles zero-day découvertes dans MySQL
    pouvant entraîner un crash du SGBD ou bloquer l’accès aux utilisateurs

    Des chercheurs en sécurité viennent de découvrir plusieurs vulnérabilités critiques zero-day dans le gestionnaire de bases de données MySQL.

    Identifiées au nombre de cinq initialement, c’est finalement trois failles qui se sont avérées être importantes.

    Les vulnérabilités peuvent être exploitées par des pirates pour bloquer l’accès au SGBD à des utilisateurs et dans une certaine mesure, entrainer même un crash de MySQL.

    Les failles de sécurité répertoriées sous les références allant de CVE-2012-5611 à 5615, sont décrites comme pouvant entrainer des dépassements de tampon, des augmentations de privilèges et des dénis de service.

    Les conséquences de certaines failles sont cependant à relativiser. Selon Monty Program, éditeur de MariaDB, le fork de MySQL, ces vulnérabilités seraient connues et peuvent être évitées, car elles sont le résultat des erreurs de configuration de la base de données. Erreurs qui seraient par ailleurs assez fréquentes.

    Le chercheur en sécurité Eric Romang de ZATAZ.com a publié une vidéo dans laquelle il montre comment les failles peuvent être exploitées sur un serveur mal configuré pour élever des privilèges.



    Sergei Golubchik, le vice-président de Monty Program a déclaré que les travaux étaient déjà en cours pour apporter des correctifs à MariaDB. Oracle n’a encore fait aucun commentaire concernant MySQL.



    Source : Zataz.com


    Et vous ?

    Qu'en pensez-vous ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Modérateur

    Avatar de CinePhil
    Homme Profil pro
    Ingénieur d'études en informatique
    Inscrit en
    Août 2006
    Messages
    16 793
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur d'études en informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Août 2006
    Messages : 16 793
    Points : 34 024
    Points
    34 024
    Billets dans le blog
    14
    Par défaut
    La vidéo est floue et sans son chez moi !
    Philippe Leménager. Ingénieur d'étude à l'École Nationale Supérieure de Formation de l'Enseignement Agricole. Autoentrepreneur.
    Mon ancien blog sur la conception des BDD, le langage SQL, le PHP... et mon nouveau blog sur les mêmes sujets.
    « Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément ». (Nicolas Boileau)
    À la maison comme au bureau, j'utilise la suite Linux Mageïa !

  3. #3
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Février 2007
    Messages
    36
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2007
    Messages : 36
    Points : 38
    Points
    38
    Par défaut
    Il serait intéressant de lier le post de Sergei Golubchik de Monty Program et de préciser quelles sont les erreurs de configuration à ne pas commettre

  4. #4
    Membre éprouvé
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    1 044
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 1 044
    Points : 1 041
    Points
    1 041
    Par défaut
    bonjour,
    Il serait intéressant de lier le post de Sergei Golubchik de Monty Program et de préciser quelles sont les erreurs de configuration à ne pas commettre
    et mieux encore d'empecher de faire cette mauvaise configuration.

  5. #5
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut MariaDB corrige les failles zero-day dans MySQL
    MariaDB corrige les failles zero-day dans MySQL
    pouvant entraîner un crash du SGBD


    Les développeurs de MariaDB ont fait preuve d’une grande réactivité pour corriger les failles zero-day dans MySQL.

    Les failles avaient été découvertes récemment par des experts en sécurité, et elles pouvaient être exploitées par des pirates pour entraîner un crash du SGBD ou bloquer l’accès aux utilisateurs (lire ci-devant).

    MariaDB 5.5.28a, 5.3.11, 5.2.13 et 5.1.66 disposent d'un correctif pour la vulnérabilité CVE 2012-5579, de type buffer overflow, pouvant planter le serveur de base de données ou permettre l’exécution de code arbitraire avec les mêmes privilèges que le processus de base de données.

    Les développeurs du fork de MySQL ont déclaré que l’autre vulnérabilité (CVE 2012-5611) était juste une duplication de la faille CVE 2012-5579 qui avait été référencée séparément.

    L’autre problème touchant le gestionnaire de base de données (CVE 2012-5613) ne serait pas vraiment un bug dans le code, mais plutôt une faille qui pourrait être exploitée suite à une mauvaise configuration. Le problème concerne le privilège qui permet aux utilisateurs de télécharger des fichiers vers la base de données ou d'utiliser MySQL pour stocker des fichiers dans un répertoire local.

    Selon Sergei Golubchik, vice-président de Monty Program, tout au plus l’administrateur doit avoir ce droit, et l’option « secure-file-priv » du serveur peut également être utilisée pour limiter les opérations sur les fichiers d’un répertoire.

    Oracle, l’éditeur de MySQL, n’a pas encore confirmé ces vulnérabilités ou publié de mise à jour.

    Télécharger MariaDB

    Source : Note de mise à jour
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

Discussions similaires

  1. Des failles de sécurité découvertes dans Google App Engine
    Par Michael Guilloux dans le forum Sécurité
    Réponses: 0
    Dernier message: 18/05/2015, 16h08
  2. Une nouvelle faille zero-day dans IE10 a été découverte
    Par Francis Walter dans le forum Sécurité
    Réponses: 3
    Dernier message: 28/02/2014, 09h51
  3. Microsoft confirme une faille Zero-Day dans IE8
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 3
    Dernier message: 10/05/2013, 10h17
  4. Nouvelle faille zero-day activement exploitée dans Adobe Reader
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 7
    Dernier message: 14/02/2013, 19h28
  5. Faille zero-day découverte dans Internet Explorer
    Par Hinault Romaric dans le forum IE
    Réponses: 9
    Dernier message: 20/09/2012, 15h44

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo