Risque
- Déni de service à distance ;
- atteinte à l'intégrité des données.
Systèmes affectés
MySQL 5.1.47 et versions précédentes.
Résumé
Une vulnérabilité de MySQL permet à un utilisateur malveillant de modifier l'arborescence et provoquer un déni de service à distance.
Description
Le traitement incorrect de certaines commandes alter database par MySQL permet à un utilisateur malveillant de déplacer le serveur dans l'arborescence. Cet utilisateur doit disposer du droit d'exécuter cette commande. Cette vulnérabilité lui permet de provoquer un déni de service à distance.
Solution
La version 5.1.48 de MySQL ce problème.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin des modifications apportées par la version MySQL 5.1.48 du 02 juin 2010 :
http://dev.mysql.com/doc/refman/5.1/en/news-5-1-48.html
- Référence CVE CVE-2010-2008 :
https://www.cve.org/CVERecord?id=CVE-2010-2008