Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

MySQL 5.1.x versions antérieures à la 5.1.47.

Résumé

Plusieurs vulnérabilités dans MySQL permettent à une personne malintentionnée de contourner la politique de sécurité, de provoquer un déni de service ou d'exécuter du code arbitraire à distance.

Description

Plusieurs vulnérabilités dans MySQL ont été découvertes :

  • une erreur dans la gestion des paramètres de la commande COM_FIELD_LIST permet de contourner la politique de sécurité (CVE-2010-1848) ;
  • une erreur non spécifiée par l'éditeur dans la gestion de la taille de certains paquets permet de provoquer un déni de service à distance (CVE-2010-1849) ;
  • une vulnérabilité de type dépassement de la mémoire tampon dans la gestion du paramètre de nom de table de la commande COM_FIELD_LIST permet d'exécuter du code arbitraire à distance (CVE-2010-1850).

Solution

Se référer à la note de nouvelle version de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation