Risque

  • Élévation de privilèges

Systèmes affectés

  • MySQL versions 3.23.57 et antérieures ;
  • MySQL versions 4.0.14 et antérieures.

Description

Une vulnérabilité est présente dans une routine de contrôle des mots de passe.

Un utilisateur légitime de MySQL possédant le droit d'administration ALTER sur la table mysql.user peut exploiter cette vulnérabilité afin d'exécuter du code arbitraire sur la plate-forme hébergeant le serveur MySQL avec les privilèges du processus mysqld.

Solution

Les versions 3.23.58 et 4.0.15 de MySQL corrigent cette vulnérabilité :

  • Annonce MySQL 4.0.15 :

    http://lists.mysql.com/announce/168
    
  • Annonce MySQL 3.23.58 :

    http://www.mysql.com/doc/en/News-3.23.58.html
    

Documentation