S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 29 juin 2010
N° CERTA-2010-AVI-294
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de MySQL

Gestion du document

Référence CERTA-2010-AVI-294
Titre Vulnérabilité de MySQL
Date de la première version29 juin 2010
Date de la dernière version29 juin 2010
Source(s) Bulletin des modifications apportées par la version MySQL 5.1.48

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Déni de service à distance

Systèmes affectés

MySQL 5.1.47 et versions précédentes.

Résumé

Une vulnérabilité de MySQL permet à un utilisateur malveillant de modifier l'arborescence et provoquer un déni de service à distance.

Description

Le traitement incorrect de certaines commandes alter database par MySQL permet à un utilisateur malveillant de déplacer le serveur dans l'arborescence. Cet utilisateur doit disposer du droit d'exécuter cette commande. Cette vulnérabilité lui permet de provoquer un déni de service à distance.

Solution

La version 5.1.48 de MySQL ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 29 juin 2010
    version initiale.