Vulnérabilité dans MySQL

Gestion du document

Référence	CERTA-2005-AVI-353
Titre	Vulnérabilité dans MySQL
Date de la première version	19 septembre 2005
Date de la dernière version	10 octobre 2005
Source(s)	Bulletin de sécurité Mandriva MDKSA-2005-163
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire

Systèmes affectés

MySQL AB MySQL versions 4.0.24 et antérieures.
MySQL AB MySQL versions 4.1.5 et antérieures ;
MySQL AB MySQL versions 5.0.4 et antérieures ;

Résumé

Une vulnérabilité dans MySQL permet à un utilisateur local d'exécuter du code arbitraire.

Description

Une erreur dans la gestion des fonctions utilisateur permet à un utilisateur local mal intentionné d'exécuter du code arbitraire par le biais d'une fonction utilisateur malicieusement construite.

Solution

Se référer au bulletin de sécurité des éditeurs pour appliquer le correctif approprié (cf. Documentation).

Documentation

Bulletin de sécurité Debian DSA-829 du 30 septembre 2005 :

http://www.debian.org/security/2005/dsa-829

Bulletin de sécurité Debian DSA-833 du 01 octobre 2005 :

http://www.debian.org/security/2005/dsa-833

Bulletin de sécurité Mandriva MDKSA-2005:163 :

http://www.mandriva.com/security/advisories?name=MDKSA-2005:163

Bulletin de sécurité Suse :

http://lists.suse.com/archive/suse-security-announce/2005-Sep/0012.html

Bulletin de sécurité Ubuntu USN-180-1 :

http://www.ubuntu.com/usn/usn-180-1

Site de MySQL AB :

http://www.mysql.com

Gestion détaillée du document

le 19 septembre 2005: version initiale.
le 03 octobre 2005: ajout des références aux Bulletins de sécurité Debian et Suse.
le 10 octobre 2005: ajout de la référence au Bulletin de sécurité Debian DSA-833.

Avis du CERT-FR

Objet: Vulnérabilité dans MySQL