S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 06 juillet 2004
N° CERTA-2004-AVI-223
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de MySQL

Gestion du document

Référence CERTA-2004-AVI-223
Titre Vulnérabilité de MySQL
Date de la première version 06 juillet 2004
Date de la dernière version 06 juillet 2004
Source(s) Bulletin de sécurité NGS Research du 01 juillet 2004
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement du mécanisme d'authentification
  • Exécution de code arbitraire possible

Systèmes affectés

  • MySQL 5.0.
  • Toutes les versions de MySQL de la branche 4.1 antérieures à la version 4.1.3 ;

Résumé

Deux vulnérabilités de MySQL permettent à un utilisateur mal intentionné de contourner le mécanisme d'authentification.

Description

MySQL est un serveur de base de données open source.
Une première vulnérabilité permet à un utilisateur mal intentionné de contourner le mécanisme d'authentification par mot de passe.
Une seconde vulnérabilité permet à un utilisateur mal intentionné de déclencher un débordement de mémoire dans le mécanisme d'authentification.

Solution

  • La version de MySQL 4.1.3 corrige ces vulnérabilités ;
  • la version de MySQL 5.0 corrigera ces vulnérabilités.

MySQL est téléchargeable à l'adresse suivante :

http://www.mysql.com/downloads/

Documentation

Gestion détaillée du document

    le 06 juillet 2004
    version initiale.