Risque
Atteinte à l'intégrité des données.
Systèmes affectés
- MySQL version 3.23.58 et versions antérieures ;
- MySQL version 4.0.18 et versions antérieures.
Résumé
Deux vulnérabilités dans le serveur de base de données MySQL permettent à un utilisateur local mal intentionné de porter atteinte à l'intégrité des données.
Description
MySQL est un serveur de base de données open source. Deux scripts fournis par MySQL, mysqlbug et mysqld_multi, créent des fichiers temporaires de manière non sécurisée. Ceci peut être exploité par un utilisateur local mal intentionné afin d'écraser des fichiers avec les privilèges de l'utilisateur invoquant le serveur MySQL.Solution
Se référer à la section Documentation pour l'obtention des correctifs.
Documentation
- Site Internet de MySQL :
http://www.mysql.com
- Avis de sécurité Mandrake MDKSA-2004:034 du 19 avril 2004 :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:034
- Avis de sécurité Debian du 14 avril 2004 :
http://www.debian.org/security/2004/dsa-483.fr.html
- Avis de sécurité FreeBSD du 15 avril 2004 :
http://www.vuxml.org/freebsd/
- Avis de sécurité pour le paquetage OpenBSD mysql du 15 avril 2004 :
http://www.vuxml.org/openbsd/
- Avis de sécurité Gentoo GLSA 200405-20 :
http://security.gentoo.org/glsa/glsa-200405-20.xml
- Référence CVE CAN-2004-0381 :
https://www.cve.org/CVERecord?id=CAN-2004-0381
- Référence CVE CAN-2004-0388 :
https://www.cve.org/CVERecord?id=CAN-2004-0388
