 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 29 mars 2005
No CERTA-2005-AVI-110-002 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
Mysql
Tableau 1: Gestion du document
| Référence |
CERTA-2005-AVI-110-002 |
| Titre |
Vulnérabilités
dans Mysql |
| Date de la première
version |
14 mars 2005 |
| Date de la dernière
version |
29 mars 2005 |
| Source(s) |
Avis de sécurité
MySQL |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Elévation de priviléges ;
- atteinte à l'intégrité des
données.
MySQL versions 4.x antérieures à la version
4.0.24.
Deux vulnérabilités présentes dans MySQL
peuvent être exploitées par un utilisateur local
mal intentionné pour accèder au système ou
élever ses priviléges sur le système
vulnérable.
Deux vulnérabilités sont présentes sur
MySQL :
- Une vulnérabilié présente dans la
fonction udf_init() permet à un utilisateur
mal intentionné, via l'utilisation des commandes
INSERT INTO ou CREATE FUNCTION de charger
une librairie. Cette vulnérabilité ne peut
être exploitée que si le serveur MySQL a
été compilé avec les options permettant
aux utilisateurs de charger des focntions udf (User
Defined Fonction).
- La seconde vulnérabilité concerne une
mauvaise gestion des fichiers temporaires lors de
l'utilisation de la fonction CREATE TEMPORARY TABLE.
Un utilisateur mal intentionné peut exploiter cette
vulnérabilité via l'utilisation d'un lien
symbolique pour écraser des fichiers arbitraires sur
le système.
Se référer au bulletin de sécurité
de l'éditeur pour l'obtention des correctifs (cf.
section Documentation).
- 14 mars 2005
- version initiale.
- 25 mars 2005
- ajout référence aux bulletins de
sécurité Gentoo, Mandrake, SuSE et
FreeBSD.
- 29 mars 2005
- ajout référence au bulletin de
sécurité RedHat et aux références
CVE.
CERTA
2012-01-04
|
|
)
