RE: MySQL : 5 failles 0-day découvertes !

[InstinctHack]

Lire l'article sur le site Un total de cinq failles critiques a été découvert sur MySQL. Pour l’instant aucun correctif n’est disponible.


Un nombre conséquent de vulnérabilités ont été dévoilées par des chercheurs en sécurité. Elles permettent à des hackers de faire crasher le service de base de données ou d’en empêcher l’accès.

Néanmoins sur les 5 vulnérabilités 0-day seules 3 sont véritablement nouvelles et critiques.

En effet, deux des failles ne peuvent être qualifiées de critiques.
La première, CVE-2012-5611 est la même qu’une vieille faille : la CVE-2012-5579 qui permet à des utilisateurs de faire crasher MySQL ou d’exécuter du code.

La seconde, CVE-2012-5613 permet l’élévation de privilèges d’un utilisateur lambda vers ceux d’un administrateur. Toutefois cette faille résulte d’une mauvaise configuration où le privilège ‘File’ est donné à un utilisateur non administrateur. Une vidéo du chercheur en sécurité Eric Romang montre comment un serveur mal configuré est vulnérable à une attaque.


La CVE-2012-5615 permet de confirmer si un identifiant est utilisé ou non par la base de données concernée.Les CVE-2012-5612 et CVE-2012-5614 peuvent entraîner respectivement un dépassement de capacité de la pile et un déni de service qui conduisent tous les deux au crash du logiciel. Ces 3 failles sont des failles critiques qu’Oracle va devoir patcher au plus vite.