Un total de cinq failles critiques a été découvert sur MySQL. Pour l’instant aucun correctif n’est disponible.

Un nombre conséquent de vulnérabilités ont été dévoilées par des chercheurs en sécurité. Elles permettent à des hackers de faire crasher le service de base de données ou d’en empêcher l’accès.

Néanmoins sur les 5 vulnérabilités 0-day seules 3 sont véritablement nouvelles et critiques.En effet, deux des failles ne peuvent être qualifiées de critiques.

De multiples risques de crash 

La première de ces failles non-critiques, CVE-2012-5611, est la même qu’une vieille faille : la CVE-2012-5579 qui permet à des utilisateurs de faire crasher MySQL ou d’exécuter du code.

La seconde, CVE-2012-5613, permet l’élévation de privilèges d’un utilisateur lambda vers ceux d’un administrateur. Toutefois cette faille résulte d’une mauvaise configuration où le privilège ‘File’ est donné à un utilisateur non administrateur. Une vidéo du chercheur en sécurité Eric Romang montre comment un serveur mal configuré est vulnérable à une attaque.

Plus redoutable est la CVE-2012-5615 qui permet de confirmer si un identifiant est utilisé ou non par la base de données concernée. Les CVE-2012-5612 et CVE-2012-5614 peuvent entraîner respectivement un dépassement de capacité de la pile et un déni de service qui conduisent tous les deux au crash du logiciel. Ces 3 failles sont des failles critiques qu’Oracle va devoir patcher au plus vite.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 144327
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI