S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 29 juin 2010
N° CERTA-2010-AVI-294
Affaire suivie par: CERT-FR
le 29 juin 2010

Avis du CERT-FR

Objet: Vulnérabilité de MySQL

Gestion du document

Référence CERTA-2010-AVI-294
Titre Vulnérabilité de MySQL
Date de la première version 29 juin 2010
Date de la dernière version 29 juin 2010
Source(s) Bulletin des modifications apportées par la version MySQL 5.1.48
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service à distance ;
  • atteinte à l'intégrité des données.

Systèmes affectés

MySQL 5.1.47 et versions précédentes.

Résumé

Une vulnérabilité de MySQL permet à un utilisateur malveillant de modifier l'arborescence et provoquer un déni de service à distance.

Description

Le traitement incorrect de certaines commandes alter database par MySQL permet à un utilisateur malveillant de déplacer le serveur dans l'arborescence. Cet utilisateur doit disposer du droit d'exécuter cette commande. Cette vulnérabilité lui permet de provoquer un déni de service à distance.

Solution

La version 5.1.48 de MySQL ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 29 juin 2010
    version initiale.