Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

MySQL weak password encryption

21/01/2007 08H03
Référence Secunia : SA8753 
Date de publication : 2003-05-09

Risque : Non Critique. Niveau 1 sur 5.
Impact : Brute force
Lieu : Système local


Solutions :
Non corrigée


Produit :
MySQL 3.x
MySQL 4.x

Description :
Une faiblesse a été identifiée dans la manière qui MySQL encrypts mots de passe en stockant them.

Le problème est que mots de passe, qui sont stockés dans une table en utilisant PASSWORD(), sont encrypted d'une manière qui peut être brute forced at a great speed. Cela permet à des personnes malicieuses, who a retrouvé mots de passe depuis la base de données, à brute force an eight character mot de passe dans a matter of hours.

A tool est disponible à exploiter ceci.


Solutions :
MySQL offers different ways à crypter mots de passe. Vous pourriez choisir pour utiliser cryptographically strong algorithms comme MD5, SHA1, ou AES à la place, qui sont all supported par MySQL.

Passwords utilisé pour MySQL les comptes ne devrait pas être utilisé sur d'autres systèmes.


Vulnérabilité découverte par :

Secret Squirrel

Référence :
http://packetstorm.linuxsecurity.com/Crackers/msqlfast.c


Autres références :

http://www.mysql.com/doc/en/Miscellaneous_functions.html




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.