Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

MySQL Win32 Exposes Admin Password

21/01/2007 14H30
Référence Secunia : SA9565 
Date de publication : 2003-08-19

Risque : Non Critique. Niveau 2 sur 5.
Impact : Exposition de données sensibles
Lieu : Système local


Solutions :
Non corrigée

OS :
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professionnel
Microsoft Windows 2000 Serveur
Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows 98 Seconde Edition
Microsoft Windows Millenium
Microsoft Windows NT 4.0 Server
Microsoft Windows NT 4.0 Server, Terminal Server Edition
Microsoft Windows NT 4.0 Workstation
Microsoft Windows Serveur 2003 Datacenter Edition
Microsoft Windows Serveur 2003 Edition Entreprise
Microsoft Windows Serveur 2003 Standard Edition
Microsoft Windows Serveur 2003 Web Edition
Microsoft Windows XP Edition Familiale
Microsoft Windows XP Professionnel
MySQL 3.x
MySQL 4.x

Description :
Une vulnérabilité a été identifiée dans MySQL sur les systèmes Windows autorisant des utilisateurs locaux malicieux à voir le nom et mot de passe de l'utilisateur administratif.

Le problème est que no restrictions d'accès sont appliqué à "my.ini" et que le nom d'utilisateur et mot de passe est stocké en clair.

Ceci a été rapporté comme affectant MySQL 3 et MySQL 4 sur Windows. Unix et Linux based versions ne sont pas impactées.


Solutions :
Ne pas permettre à des utilisateurs non fiables accéder au système faisant tourner MySQL ou appliquer restrictions d'accès à "my.ini".


Vulnérabilité découverte par :

Lorenzo Hernandez Garcia-Hierro


Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.