jeudi 27 février 2020    || Inscription
BanniereNews
 
 

Un total de cinq failles critiques a été découvert sur MySQL. Pour l’instant aucun correctif n’est disponible.

Un nombre conséquent de vulnérabilités ont été dévoilées par des chercheurs en sécurité. Elles permettent à des hackers de faire crasher le service de base de données ou d’en empêcher l’accès.

Néanmoins sur les 5 vulnérabilités 0-day seules 3 sont véritablement nouvelles et critiques.En effet, deux des failles ne peuvent être qualifiées de critiques.

De multiples risques de crash 

La première de ces failles non-critiques, CVE-2012-5611, est la même qu’une vieille faille : la CVE-2012-5579 qui permet à des utilisateurs de faire crasher MySQL ou d’exécuter du code.

La seconde, CVE-2012-5613, permet l’élévation de privilèges d’un utilisateur lambda vers ceux d’un administrateur. Toutefois cette faille résulte d’une mauvaise configuration où le privilège ‘File’ est donné à un utilisateur non administrateur. Une vidéo du chercheur en sécurité Eric Romang montre comment un serveur mal configuré est vulnérable à une attaque.

Plus redoutable est la CVE-2012-5615 qui permet de confirmer si un identifiant est utilisé ou non par la base de données concernée. Les CVE-2012-5612 et CVE-2012-5614 peuvent entraîner respectivement un dépassement de capacité de la pile et un déni de service qui conduisent tous les deux au crash du logiciel. Ces 3 failles sont des failles critiques qu’Oracle va devoir patcher au plus vite.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI