Labels

Nouvelles failles de sécurité Zero-Day MySQL Oracle: Enjeux et Menaces via la mauvaise configuration

MySQL, une base de donnée open qui était à l’origine développé par le suédois MySQL, dès 2008 le logiciel est rachetée par Sun Microsystems. À la suite du rachat de Sun en 2010 par Oracle, MySQL devint alors propriété d’Oracle. Depuis lors la base de donnée la plus populaire au monde subis de profonde mutations. Le Projet MariaDB un fork MySLQ piloté par Monty Program consiste a développé la nouvelle base de données MariaDB en
s’appuyant sur le code source de MySQL.
Fin novembre 2012, Monty Program  met à la disposition des développeurs C/C++, PHP… des API les permettant de communiquer avec la base de données.

Côté sécurité de nombreuses failles de sécurité sont depuis attribuées à la base de données. Certaines corrigées ou pas connus et d’autres liées uniquement à la mauvaise configuration.

Depuis le 03 décembre 2012 plusieurs failles Zéro Day (pas connues) sont mises à la connaissance du public par http://seclists.org notamment:

  • CVE-2012-5611 — MySQL (Linux) Stack based buffer overrun PoC Zeroday
  • CVE-2012-5612 — MySQL (Linux) Heap Based Overrun PoC Zeroday
  • CVE-2012-5613 — MySQL (Linux) Database Privilege Elevation Zeroday Exploit
  • CVE-2012-5614 — MySQL Denial of Service Zeroday PoC
  • CVE-2012-5615 — MySQL Remote Preauth User Enumeration Zeroday

Selon Golubchik, de chez Monty Program, les failles  CVE-2012-5612 et CVE-2012-5614 pourraient effectivement causer le détournement des instances. C’est-à-dire si par exemple les privilèges en écriture d’un non administrateur de la base donnée sont augmentés.

En dessous la vidéo démontrant les failles liées à la mauvaise configuration.  
Un correctif serait en cours de développement.

NB : le centre Connectikpeople de surveillance et de monitoring des sites d’annonces, réseaux sociaux et forums : Connectikpeople Tracker, intègre le traçage en Afrique des phénomènes suivants : (pédophilie, pédopornographie, escroquerie, phishing ou hameçonnage, annonces illicites, harcèlement, sextos…)
Labels:

Popular Posts